Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Centralizzare l'accesso root per gli account dei membri
<a name="id_root-enable-root-access"></a>

Le credenziali dell'utente root sono le credenziali iniziali assegnate a chiunque Account AWS abbia accesso completo a tutti i AWS servizi e le risorse dell'account. Quando abiliti AWS Organizations, unisci tutti i tuoi AWS account in un'organizzazione per la gestione centralizzata. Ogni account membro ha il proprio utente root con autorizzazioni predefinite per eseguire qualsiasi azione nell'account membro. Ti consigliamo di proteggere centralmente le credenziali dell'utente root di Account AWS Managed Using AWS Organizations per impedire il ripristino e l'accesso delle credenziali dell'utente root su larga scala.

Dopo aver centralizzato l'accesso root, puoi scegliere di eliminare le credenziali dell'utente root dagli account membri dell'organizzazione. Puoi rimuovere la password dell’utente root, le chiavi di accesso, i certificati per la firma e disattivare l’autenticazione a più fattori (MFA). Per impostazione predefinita, i nuovi account creati in AWS Organizations non hanno credenziali dell’utente root. Gli account dei membri non possono accedere al proprio utente root o eseguirne il recupero della password.

**Nota**  
Sebbene alcune [Attività che richiedono credenziali dell'utente root](id_root-user.md#root-user-tasks) possano essere eseguite dall’account di gestione o dall’amministratore delegato per IAM, alcune attività possono essere eseguite solo quando si effettua l’accesso come utente root di un account.  
Se è necessario recuperare le credenziali dell’utente root per un account membro al fine di eseguire una di queste attività, segui la procedura indicata in [Eseguire un'attività con privilegi](id_root-user-privileged-task.md) e seleziona **Consenti il recupero della password**. La persona che ha accesso alla casella di posta elettronica dell’utente root per l’account membro può quindi seguire i passaggi per [reimpostare la password dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html) e accedere come utente root dell’account membro.  
 Ti consigliamo di eliminare le credenziali dell'utente root una volta completata l'attività che richiede l'accesso all'utente root.

## Prerequisiti
<a name="enable-root-access-management_prerequisite"></a>

Prima di centralizzare l'accesso root, è necessario disporre di un account configurato con le seguenti impostazioni:
+ Bisogna possedere le seguenti autorizzazioni IAM:
  + `iam:GetAccessKeyLastUsed`
  + `iam:GetAccountSummary`
  + `iam:GetLoginProfile`
  + `iam:GetUser`
  + `iam:ListAccessKeys`
  + `iam:ListMFADevices`
  + `iam:ListSigningCertificates`
  + `sts:AssumeRoot`
**Nota**  
Per verificare lo stato delle credenziali dell'utente root di un account membro, è possibile utilizzare la politica [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials) AWS gestita per definire l'ambito delle autorizzazioni quando si esegue un'attività privilegiata su un account AWS Organizations membro o utilizzare qualsiasi politica con accesso a. `iam:GetAccountSummary`  
Per generare il report informativo sulle credenziali dell’utente root, per le altre policy è sufficiente che l’operazione `iam:GetAccountSummary` produca lo stesso risultato. Inoltre, è possibile elencare oppure ottenere informazioni sulle credenziali dei singoli utenti root, compreso:  
Se è presente una password per l’utente root
Se è presente una chiave di accesso dell’utente root e quando è stata utilizzata l’ultima volta
Se l’utente root ha certificati di firma associati
I dispositivi MFA associati all’utente root
L’elenco dello stato delle credenziali consolidate dell’utente root
+ È necessario gestire il proprio account. Account AWS [AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_introduction.html)
+ Per abilitare questa funzionalità nella tua organizzazione, devi disporre delle seguenti autorizzazioni:
  + `iam:EnableOrganizationsRootCredentialsManagement`
  + `iam:EnableOrganizationsRootSessions`
  + `iam:ListOrganizationsFeatures`
  + `organizations:EnableAwsServiceAccess`
  + `organizations:ListAccountsForParent`
  + `organizations:RegisterDelegatedAdministrator` 
+ Per garantire una funzionalità ottimale della console, si consiglia di abilitare le seguenti autorizzazioni aggiuntive:
  + `organizations:DescribeAccount`
  + `organizations:DescribeOrganization`
  + `organizations:ListAWSServiceAccessForOrganization`
  + `organizations:ListDelegatedAdministrators`
  + `organizations:ListOrganizationalUnitsForParent`
  + `organizations:ListParents`
  + `organizations:ListTagsForResource`

## Abilitazione dell'accesso root centralizzato (console)
<a name="enable-root-access-console"></a>

**Per abilitare questa funzione per gli account dei membri in Console di gestione AWS**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione della console, scegli **Gestione degli accessi root**, quindi seleziona **Abilita**.
**Nota**  
Se vedi che la **gestione degli accessi root è disabilitata**, abilita l'accesso affidabile per AWS Identity and Access Management in AWS Organizations. Per i dettagli, consulta [AWS IAM e AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-iam.html) nella *Guida per l'utente di AWS Organizations *.

1. Nella sezione Funzionalità da abilitare, scegli le funzionalità da abilitare.
   + Seleziona **Gestione delle credenziali root** per consentire all'account di gestione e all'amministratore delegato di IAM di eliminare le credenziali utente root per gli account membri. È necessario abilitare le azioni root con privilegi negli account membri per consentire agli account membri di recuperare le credenziali dell'utente root dopo che sono state eliminate.
   + Seleziona **Azioni root con privilegi negli account membri** per consentire all'account di gestione e all'amministratore delegato di IAM di eseguire determinate attività che richiedono le credenziali dell'utente root.

1. (Facoltativo) Inserisci l'ID account dell'**amministratore delegato** autorizzato a gestire l'accesso degli utenti root e ad eseguire azioni con privilegi sugli account membri. Consigliamo un account destinato a scopi di sicurezza o gestione.

1. Scegli **Abilita **.

## Abilitazione dell'accesso root centralizzato (AWS CLI)
<a name="enable-root-access-cli"></a>

**Per abilitare l'accesso root centralizzato da AWS Command Line Interface ()AWS CLI**

1. Se non hai già abilitato l'accesso affidabile per AWS Identity and Access Management in AWS Organizations, usa il seguente comando: [aws organisations enable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/enable-aws-service-access.html).

1. Usa il seguente comando per consentire all'account di gestione e all'amministratore delegato di eliminare le credenziali dell'utente root per gli account dei membri: [aws iam enable-organizations-root-credentials](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-credentials-management.html) -management.

1. [Utilizzare il comando seguente per consentire all'account di gestione e all'amministratore delegato di eseguire determinate attività che richiedono le credenziali dell'utente root: aws iam. enable-organizations-root-sessions](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-sessions.html)

1. [(Facoltativo) Utilizzate il seguente comando per registrare un amministratore delegato: aws organisations. register-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/register-delegated-administrator.html)

   L'esempio seguente assegna l'account 111111111111 come amministratore delegato per il servizio IAM.

   ```
   aws organizations register-delegated-administrator 
   --service-principal iam.amazonaws.com
   --account-id 111111111111
   ```

## Abilitazione dell'accesso root centralizzato (API)AWS
<a name="enable-root-access-api"></a>

**Per abilitare l'accesso root centralizzato dall'API AWS**

1. Se non hai già abilitato l'accesso affidabile per AWS Identity and Access Management in AWS Organizations, usa il seguente comando: [Enable AWSService Access.](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

1. Usa il comando seguente per consentire all'account di gestione e all'amministratore delegato di eliminare le credenziali dell'utente root per gli account dei membri:. [EnableOrganizationsRootCredentialsManagement](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootCredentialsManagement.html)

1. Utilizzare il comando seguente per consentire all'account di gestione e all'amministratore delegato di eseguire determinate attività che richiedono le credenziali dell'utente root:. [EnableOrganizationsRootSessions](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootSessions.html)

1. (Facoltativo) Utilizzate il seguente comando per registrare un amministratore delegato:. [RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html)

## Fasi successive
<a name="enable-root-access_next-steps"></a>

Dopo aver protetto centralmente le credenziali con privilegi per gli account membri dell'organizzazione, consulta [Eseguire un'attività con privilegi](id_root-user-privileged-task.md) per eseguire le azioni con privilegi su un account membro.