

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Gruppi di utenti IAM
<a name="id_groups"></a>

Un [*gruppo di utenti*](#id_groups) IAM è una raccolta di utenti IAM. I gruppi di utenti consentono di specificare le autorizzazioni per più utenti e quindi la gestione delle autorizzazioni per quegli utenti può essere più facile. Ad esempio, potresti avere un gruppo di utenti chiamato *Amministratori* e concedere a tale gruppo di utenti le autorizzazioni tipiche degli amministratori. Qualsiasi utente all'interno di tale gruppo dispone automaticamente delle autorizzazioni del gruppo *Amministratori*. Se un nuovo utente entra a far parte dell'organizzazione e necessita dei privilegi di amministratore, puoi concedere le autorizzazioni appropriate aggiungendo l'utente al gruppo di utenti *Amministratori*. Se una persona cambia mansione all'interno dell'organizzazione, invece di modificare le autorizzazioni dell'utente puoi rimuoverlo dai vecchi gruppi IAM e aggiungerlo a nuovi gruppi IAM appropriati. 

Puoi collegare una policy basata sull'identità a un gruppo di utenti in modo che tutti gli utenti del gruppo ricevano le autorizzazioni della policy. Non è possibile identificare un gruppo di utenti come `Principal` in una policy (ad esempio una policy basata sulle risorse) perché i gruppi si riferiscono alle autorizzazioni, non all'autenticazione, e i principali sono entità IAM autenticate. Per ulteriori informazioni sui tipi di policy, consulta [Policy basate sulle identità e policy basate su risorse](access_policies_identity-vs-resource.md).

Queste sono alcune delle funzionalità importanti dei gruppi IAM:
+ Un gruppo di utenti può contenere molti utenti e un utente può appartenere a più gruppi di utenti.
+ I gruppi di utenti non possono essere nidificati; possono contenere solo utenti, non altri gruppi IAM.
+ Non esiste alcun gruppo di utenti predefinito che include automaticamente tutti gli utenti nell' Account AWS. Se desideri disporre di un gruppo di utenti di questo tipo, è necessario crearlo e assegnarvi ogni nuovo utente.
+ Il numero e la dimensione delle risorse IAM in un Account AWS, ad esempio il numero di gruppi e il numero di gruppi di cui un utente può essere membro, sono limitati. Per ulteriori informazioni, consulta [IAM e AWS STS quote](reference_iam-quotas.md).

Il diagramma seguente mostra un semplice esempio di una piccola azienda. Il proprietario dell'azienda crea un gruppo di utenti `Admins` perché gli utenti possano creare e gestire altri utenti mentre l'azienda cresce. Il gruppo di utenti `Admins` crea un gruppo di utenti `Developers`e un gruppo di utenti `Test`. Ciascuno di questi gruppi IAM è composto da utenti (umani e applicazioni) che interagiscono con AWS (Jim, Brad, DevApp 1 e così via). Ogni utente dispone di un singolo set di credenziali di sicurezza. In questo esempio, ogni utente appartiene a un singolo gruppo. Tuttavia, gli utenti possono appartenere a più gruppi IAM.

![\[Esempio di relazione tra Account AWS utenti e gruppi IAM\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/Relationship_Between_Entities_Example.diagram.png)


# Creare gruppi IAM
<a name="id_groups_create"></a>

**Nota**  
Come [procedura consigliata](best-practices.md), consigliamo di richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee. Se segui le best practice, non gestisci utenti e gruppi IAM. Gli utenti e i gruppi sono invece gestiti all'esterno AWS e possono accedere alle AWS risorse come identità *federata*. Un'identità federata è un utente dell'elenco utenti aziendale, un provider di identità Web, il AWS Directory Service, la directory Identity Center o qualsiasi utente che accede AWS ai servizi utilizzando le credenziali fornite tramite un'origine di identità. Le identità federate utilizzano i gruppi definiti dal rispettivo gestore di identità. Se lo utilizzi AWS IAM Identity Center, consulta [Gestisci le identità in IAM Identity Center nella](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html) *Guida per l'AWS IAM Identity Center utente* per informazioni sulla creazione di utenti e gruppi in IAM Identity Center.

Crei gruppi IAM per gestire le autorizzazioni di accesso per più utenti con ruoli o responsabilità simili. Collegando le policy a questi gruppi, puoi concedere o revocare le autorizzazioni per interi insiemi di utenti. Ciò semplifica la manutenzione delle policy di sicurezza, poiché le modifiche apportate alle autorizzazioni di un gruppo vengono applicate automaticamente a tutti i membri di quel gruppo, garantendo un controllo uniforme degli accessi. Dopo aver creato il gruppo, assegna le autorizzazioni in base alle attività previste per gli utenti IAM che ne faranno parte, quindi aggiungi gli utenti IAM al gruppo.

Per informazioni sulle autorizzazioni richieste per la creazione di un gruppo IAM, consulta [Autorizzazioni necessarie per accedere alle risorse IAM](access_permissions-required.md). 

## Per creare un gruppo IAM e collegare policy
<a name="id_groups_create-section-1"></a>

------
#### [ Console ]

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel pannello di navigazione seleziona **Gruppi di utenti**, quindi **Crea gruppo**.

1. In **Nome gruppo di utenti**, digita il nome del gruppo.
**Nota**  
Il numero e la dimensione delle risorse IAM in un AWS account sono limitati. Per ulteriori informazioni, consulta [IAM e AWS STS quote](reference_iam-quotas.md). I nomi dei gruppi possono essere una combinazione di un massimo di 128 lettere, cifre e i seguenti caratteri: più (\$1), uguale (=), virgola (,), punto (.), chiocciola (@), trattino basso (\$1) e trattino (-). I nomi devono essere univoci all'interno di un account. Non viene fatta distinzione tra maiuscole e minuscole. Ad esempio, non è possibile creare gruppi denominati sia **ADMINS** che **admins**.

1. Nell'elenco degli utenti, seleziona la casella di controllo per ogni utente che desideri aggiungere al gruppo.

1. Nell'elenco di tutte le policy, selezionare la casella di controllo per ogni policy che si desidera applicare a tutti i membri del gruppo.

1. Seleziona **Crea gruppo**.

------
#### [ AWS CLI ]

Esegui il comando seguente:
+ [aws iam create-group](https://docs.aws.amazon.com/cli/latest/reference/iam/create-group.html)

------
#### [ API ]

Chiamare l'operazione seguente:
+ [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html)

------

# Visualizzare i gruppi IAM
<a name="id_groups_manage_list"></a>

Puoi elencare tutti i gruppi IAM nel tuo account, elencare gli utenti in un gruppo di utenti ed elencare i gruppi IAM a cui un utente appartiene. Se utilizzi la CLI o l’API, puoi elencare tutti i gruppi IAM con un determinato prefisso di percorso.

------
#### [ Console ]

Per elencare tutti i gruppi IAM nell’account:
+ Nel pannello di navigazione, scegli **Gruppi di utenti**.

Per elencare gli utenti IAM in un determinato gruppo IAM:
+ Nel pannello di navigazione, seleziona **Gruppi di utenti**. Quindi, scegli il nome del gruppo per aprire la pagina dei dettagli del gruppo. Consulta la scheda **Utenti** per vedere l’appartenenza al gruppo.

Per elencare tutti i gruppi IAM in cui si trova un utente:
+ Nel pannello di navigazione, seleziona **Utenti**. Quindi seleziona il nome utente per aprire la pagina dei dettagli dell’utente. Scegli la scheda **Gruppi** per visualizzare un elenco dei gruppi a cui appartiene l’utente.

------
#### [ AWS CLI ]

Per elencare tutti i gruppi IAM nell’account:
+ [aws iam list-groups](https://docs.aws.amazon.com/cli/latest/reference/iam/list-groups.html)

Per elencare gli utenti in un determinato gruppo IAM:
+ [aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html)

Per elencare tutti i gruppi IAM in cui si trova un utente:
+ [era aim list-groups-for-user](https://docs.aws.amazon.com/cli/latest/reference/iam/list-groups-for-user.html)

------
#### [ API ]

Per elencare tutti i gruppi IAM nell’account:
+ [ListGroups](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroups.html)

Per elencare gli utenti in un determinato gruppo IAM:
+ [GetGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroup.html)

Per elencare tutti i gruppi IAM in cui si trova un utente:
+ [ListGroupsForUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html)

------

# Modificare gli utenti nei gruppi IAM
<a name="id_groups_manage_add-remove-users"></a>

Usa i gruppi IAM per applicare le stesse policy di autorizzazione a più utenti contemporaneamente. Potrai quindi aggiungere o rimuovere utenti da un gruppo IAM. Questa funzione è utile quando le persone arrivano e lasciano l'organizzazione.

## Revisione delle policy di accesso
<a name="groups-remove_prerequisites"></a>

Prima di rimuovere un gruppo, utilizza la pagina dei dettagli del gruppo per esaminarne i membri (utenti IAM), la scheda **Autorizzazioni** per vedere le policy collegate e la scheda **Ultimo accesso** per esaminare le attività recenti a livello di servizio. Questo aiuta a evitare di revocare involontariamente l’accesso a un principale (persona o applicazione) che lo utilizza. Per ulteriori informazioni sulla visualizzazione delle ultime informazioni di accesso, vedere [Perfeziona le autorizzazioni AWS utilizzando le informazioni dell'ultimo accesso](access_policies_last-accessed.md).

## Aggiunta di un utente IAM a un gruppo IAM
<a name="groups-add-remove-console"></a>

------
#### [ Console ]

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel pannello di navigazione, scegli **Gruppi di utenti**, quindi scegli il nome del gruppo.

1. Seleziona la scheda **Utenti**, quindi scegli **Aggiungi utenti**. Selezionare la casella di controllo accanto agli utenti che si desidera aggiungere.

1. Scegli **Aggiungi utenti**.

------
#### [ AWS CLI ]

Esegui il comando seguente:
+ `[aws iam add-user-to-group](https://docs.aws.amazon.com/cli/latest/reference/iam/add-user-to-group.html)`

------
#### [ API ]

Chiamare l'operazione seguente:
+ `[AddUserToGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AddUserToGroup.html)`

------

## Rimozione di un utente IAM da un gruppo IAM
<a name="id_groups_manage_add-remove-users-section-1"></a>

------
#### [ Console ]

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel pannello di navigazione, scegli **Gruppi di utenti**, quindi scegli il nome del gruppo.

1. Scegli la scheda **Users** (Utenti); Seleziona la casella di controllo accanto agli utenti che desideri rimuovere e quindi scegli **Rimuovi utenti**.

------
#### [ AWS CLI ]

Esegui il comando seguente:
+ `[aws iam remove-user-from-group](https://docs.aws.amazon.com/cli/latest/reference/iam/remove-user-from-group.html)`

------
#### [ API ]

Chiamare l'operazione seguente:
+ `[RemoveUserFromGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html)`

------

# Collegare una policy a un gruppo di utenti IAM
<a name="id_groups_manage_attach-policy"></a>

È possibile allegare una [politica AWS gestita](access_policies_managed-vs-inline.md#aws-managed-policies), ovvero una politica prescritta fornita da, AWS a un gruppo di utenti, come spiegato nei passaggi seguenti. Per collegare una policy gestita dal cliente, ovvero una policy con autorizzazioni personalizzate da te creata, è prima necessario creare la policy. Per ulteriori informazioni sulla creazione di policy gestite dal cliente, consulta [Definire le autorizzazioni IAM personalizzate con policy gestite dal cliente](access_policies_create.md). 

Per ulteriori informazioni sulle autorizzazioni e sulle policy, consulta [Gestione degli accessi AWS alle risorse](access.md). 

## Per collegare una policy a un gruppo IAM
<a name="id_groups_manage_attach-policy-section-1"></a>

------
#### [ Console ]

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel pannello di navigazione, scegli **Gruppi di utenti**, quindi scegli il nome del gruppo.

1. Scegli la scheda **Autorizzazioni**.

1. Seleziona **Aggiungi autorizzazioni**, quindi seleziona **Collega policy**.

1. Le policy correnti collegate al gruppo di utenti vengono visualizzate nell'elenco **Policy di autorizzazione correnti**. Nell'elenco **Altre policy di autorizzazioni**, seleziona la casella di controllo accanto al nome delle policy da collegare. Puoi utilizzare la casella di ricerca per filtrare l'elenco di policy in base al tipo e al nome della policy.

1. Seleziona la policy che desideri collegare al tuo gruppo IAM e scegli **Collega policy**.

------
#### [ AWS CLI ]

Esegui il comando seguente:
+ `[aws iam attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)`

------
#### [ API ]

Chiamare l'operazione seguente:
+ `[AttachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachGroupPolicy.html)`

------

# Ridenominare un gruppo di utenti IAM
<a name="id_groups_manage_rename"></a>

Quando modifichi il nome o il percorso di un gruppo di utenti, si verificano i seguenti eventi: 
+ Qualsiasi policy associata al gruppo di utenti resta con il gruppo con il nuovo nome.
+ Il gruppo di utenti mantiene tutti i suoi utenti con il nuovo nome.
+ L'ID univoco del gruppo di utenti rimane invariato. Per ulteriori informazioni su unique IDs, consulta[Identificatori univoci](reference_identifiers.md#identifiers-unique-ids). 

IAM non aggiorna automaticamente le policy che fanno riferimento al gruppo di utenti come risorsa per l'utilizzo del nuovo nome. Pertanto, è necessario prestare attenzione quando si rinomina un gruppo di utenti. Prima di rinominare il gruppo di utenti, è necessario verificare manualmente tutte le policy per individuare quelle in cui tale gruppo viene menzionato in base al nome. Supponiamo ad esempio che Bob sia il responsabile dell'area test dell'organizzazione. Bob dispone di una policy associata alla sua entità utente IAM che gli permette di aggiungere e rimuovere utenti dal gruppo di utenti Test. Se un amministratore cambia il nome del gruppo di utenti (o modifica il percorso del gruppo), deve anche aggiornare la policy associata a Bob per l'utilizzo del nuovo nome o percorso. In caso contrario Bob non potrà aggiungere o rimuovere gli utenti dal gruppo di utenti. 

**Per trovare le policy che fanno riferimento a un gruppo IAM come risorsa:**

1. Nel pannello di navigazione della console IAM, scegli **Policy**.

1. Ordina in base alla colonna **Tipo** per individuare le tue policy personalizzate **gestite dal cliente**.

1. Scegli il nome della policy da modificare.

1. Scegli la scheda **Autorizzazioni** e quindi **Riepilogo**.

1. Seleziona **IAM** dall'elenco di servizi, se disponibile.

1. Cerca il nome del gruppo di utenti nella colonna **Risorsa**.

1. Seleziona **Modifica** per modificare il nome del gruppo di utenti nella policy.

## Come modificare il nome di un gruppo di utenti IAM
<a name="id_groups_manage_rename-section-1"></a>

------
#### [ Console ]

1. Nel pannello di navigazione, scegli **Gruppi utenti** e poi scegli il nome del gruppo.

1. Scegli **Modifica**. Digita il nuovo nome del gruppo di utenti e scegli **Salva modifiche**.

------
#### [ AWS CLI ]

Esegui il comando seguente:
+ [aws iam update-group](https://docs.aws.amazon.com/cli/latest/reference/iam/update-group.html)

------
#### [ API ]

Chiamare l'operazione seguente:
+ [UpdateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateGroup.html)

------

# Eliminazione di un gruppo IAM
<a name="id_groups_manage_delete"></a>

Quando elimini un gruppo IAM nella console, questa rimuove automaticamente tutti i membri del gruppo, scollega tutte le policy gestite collegate ed elimina tutte le policy inline. Tuttavia, poiché IAM non elimina automaticamente le policy che fanno riferimento al gruppo IAM come risorsa, è necessario prestare attenzione quando si elimina un gruppo IAM. Prima di poter eliminare il gruppo IAM, è necessario verificare manualmente le policy per individuare quelle in cui tale gruppo viene menzionato per nome. Ad esempio, John, il responsabile del team di test, dispone di una policy collegata alla sua entità utente IAM che gli consente di aggiungere e rimuovere utenti dal gruppo Test. Se un amministratore elimina il gruppo, deve eliminare anche la policy collegata a John. Altrimenti, se l'amministratore ricrea il gruppo eliminato e gli assegna lo stesso nome, le autorizzazioni di John rimangono valide, anche se ha lasciato il team di test.

Al contrario, quando si utilizza la CLI, l’SDK o l’API per eliminare un gruppo di utenti, è necessario prima rimuovere gli utenti del gruppo. Quindi, si eliminano le policy inline eventualmente incorporate nel gruppo IAM. A questo punto è necessario scollegare le policy gestite collegate al gruppo. Una volta fatto questo è possibile eliminare il gruppo IAM.

------
#### [ Console ]

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel pannello di navigazione, seleziona **Gruppi di utenti**.

1. Nell’elenco dei gruppi IAM, seleziona la casella di controllo accanto ai nomi dei gruppi IAM da eliminare. Puoi utilizzare la casella di ricerca per filtrare l’elenco dei gruppi IAM in base al tipo, alle autorizzazioni e al nome del gruppo.

1. Scegli **Elimina**.

1. Nella casella di conferma, se desideri eliminare un singolo gruppo, digita il nome del gruppo e scegli **Elimina**. Se desideri eliminare più gruppi, digita il numero di gruppi IAM da eliminare seguito da **user groups** e scegli **Elimina**. Ad esempio, se desideri eliminare tre gruppi, digita **3 **user groups****.

------
#### [ AWS CLI ]

1. Rimuovi tutti gli utenti dal gruppo IAM.
   + [aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html) (per ottenere l'elenco degli utenti nel gruppo IAM) e [aws iam remove-user-from-group](https://docs.aws.amazon.com/cli/latest/reference/iam/remove-user-from-group.html) (per rimuovere un utente dal gruppo IAM)

1. Elimina tutte le policy inline incorporate nel gruppo IAM.
   + [aws iam list-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-group-policies.html) (per ottenere un elenco delle politiche in linea del gruppo IAM) e [aws iam delete-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-group-policy.html) (per eliminare le politiche in linea del gruppo IAM)

1. Scollega tutte le policy gestite collegate al gruppo IAM.
   + [aws iam list-attached-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-group-policies.html) (per ottenere un elenco delle politiche gestite allegate al gruppo IAM) e [aws iam detach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-group-policy.html) (per scollegare una politica gestita dal gruppo IAM)

1. Elimina il gruppo IAM.
   + [aws iam delete-group](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-group.html)

------
#### [ API ]

1. Rimuovi tutti gli utenti dal gruppo IAM.
   + [GetGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroup.html)(per ottenere l'elenco degli utenti nel gruppo IAM) e [RemoveUserFromGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html)(per rimuovere un utente dal gruppo IAM)

1. Elimina tutte le policy inline incorporate nel gruppo IAM.
   + [ListGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupPolicies.html)(per ottenere un elenco delle politiche in linea del gruppo IAM) e [DeleteGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteGroupPolicy.html)(per eliminare le politiche in linea del gruppo IAM)

1. Scollega tutte le policy gestite collegate al gruppo IAM.
   + [ListAttachedGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedGroupPolicies.html)(per ottenere un elenco delle politiche gestite allegate al gruppo IAM) e [DetachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachGroupPolicy.html)(per scollegare una politica gestita dal gruppo IAM)

1. Elimina il gruppo IAM.
   + [DeleteGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteGroup.html)

------