Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Che cos’è IAM?
<a name="introduction"></a>

AWS Identity and Access Management (IAM) è un servizio web che ti aiuta a controllare in modo sicuro l'accesso alle AWS risorse. Con IAM, puoi gestire le autorizzazioni che controllano le AWS risorse a cui gli utenti possono accedere. Utilizza IAM per controllare chi è autenticato (accesso effettuato) e autorizzato (dispone di autorizzazioni) per l’utilizzo di risorse. IAM offre l’infrastruttura necessaria per gestire l’autenticazione e l’autorizzazione per il tuo Account AWS.

**Identità**

 Quando ne crei uno Account AWS, inizi con un'identità di accesso chiamata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali come utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente di IAM*. 

Usa IAM per configurare altre identità oltre al tuo utente root, come amministratori, analisti e sviluppatori, e concedere loro l'accesso alle risorse di cui hanno bisogno per portare a termine con successo le loro attività. 

**Gestione degli accessi**

Dopo aver configurato un utente in IAM, questo utilizzerà le proprie credenziali di accesso per autenticarsi con AWS. L'autenticazione viene fornita abbinando le credenziali di accesso a un principale (un utente IAM, un principal AWS STS federato, un ruolo IAM o un'applicazione) considerato affidabile da. Account AWS Successivamente, viene fatta una richiesta per concedere al principale accesso alle risorse. L'accesso è concesso in risposta a una richiesta di autorizzazione se all'utente è stata concessa l'autorizzazione alla risorsa. Ad esempio, quando accedi per la prima volta alla console e ti trovi nella home page, non stai accedendo a un servizio specifico. Quando selezioni un servizio, la richiesta di autorizzazione viene inviata a quel servizio e verifica se la tua identità è nell’elenco degli utenti autorizzati, quali policy vengono applicate per controllare il livello di accesso concesso e qualsiasi altra policy che potrebbe essere in vigore. Le richieste di autorizzazione possono essere effettuate dai responsabili interni all'azienda Account AWS o da un altro Account AWS di cui ci si fida.

Una volta autorizzato, il principale può intervenire o eseguire operazioni sulle risorse del tuo Account AWS. Ad esempio, il principale potrebbe avviare una nuova Amazon Elastic Compute Cloud istanza, modificare l'appartenenza al gruppo IAM o eliminare i Amazon Simple Storage Service bucket.

**Suggerimento**  
AWS Training and Certification offre un video introduttivo di 10 minuti a IAM:  
[Introduzione a AWS Identity and Access Management](https://www.aws.training/learningobject/video?id=16448)

**Disponibilità del servizio**

IAM, come molti altri AWS servizi, [alla fine è coerente](https://wikipedia.org/wiki/Eventual_consistency). IAM raggiunge un'alta disponibilità replicando i dati su più server nei data center di Amazon di tutto il mondo. Se una richiesta per modificare alcuni dati ha successo, la modifica viene completata e memorizzata in maniera sicura. Tuttavia, le modifiche devono essere replicate su IAM e questo può richiedere tempo. Tali modifiche includono la creazione o l'aggiornamento di utenti, gruppi, ruoli, o policy. Si consiglia di non includere tali modifiche IAM nei percorsi critici e ad alta disponibilità del codice dell'applicazione. Al contrario, apporta modifiche IAM in un'inizializzazione separata o in una routine di configurazione che si esegue meno frequentemente. Inoltre, assicurarsi di verificare che le modifiche siano state propagate prima che i flussi di lavoro di produzione dipendano da esse. Per ulteriori informazioni, consulta [Le modifiche che apporto non sono sempre immediatamente visibili](troubleshoot.md#troubleshoot_general_eventual-consistency).

**Informazioni sui costi del servizio**

AWS Identity and Access Management (IAM) AWS IAM Identity Center e AWS Security Token Service (AWS STS) sono funzionalità del tuo AWS account offerte senza costi aggiuntivi. Ti viene addebitato solo quando accedi ad altri AWS servizi utilizzando gli utenti IAM o le credenziali di sicurezza AWS STS temporanee. 

L'analisi degli accessi esterni del Sistema di analisi degli accessi IAM è disponibile senza costi aggiuntivi. Tuttavia, ti verranno addebitati dei costi per l'analisi degli accessi inutilizzati e i controlli delle policy dei clienti. Per un elenco completo delle tariffe e dei prezzi specifici per Sistema di analisi degli accessi IAM, consulta la [pagina dedicata](https://aws.amazon.com/iam/access-analyzer/pricing).

Per informazioni sui prezzi di altri AWS prodotti, consulta la [pagina dei prezzi di Amazon Web Services](https://aws.amazon.com/pricing/).

**Integrazione con altri AWS servizi**

IAM è integrato con molti AWS servizi. Per un elenco dei AWS servizi che funzionano con IAM e IAM offre il supporto dei servizi, consulta[AWS servizi che funzionano con IAM](reference_aws-services-that-work-with-iam.md). 

# Perché utilizzare IAM?
<a name="intro-iam-features"></a>

AWS Identity and Access Management è un potente strumento per gestire in modo sicuro l'accesso alle AWS risorse. Uno dei vantaggi principali dell'utilizzo di IAM è la possibilità di concedere l'accesso condiviso al tuo AWS account. Inoltre, IAM ti consente di assegnare autorizzazioni granulari, permettendo di controllare esattamente quali azioni i diversi utenti possono eseguire su risorse specifiche. Questo livello di controllo degli accessi è fondamentale per mantenere la sicurezza dell' AWS ambiente. IAM fornisce anche diverse altre funzionalità di sicurezza. È possibile aggiungere l'autenticazione a più fattori (MFA) per un ulteriore livello di protezione e sfruttare la federazione delle identità per integrare senza problemi gli utenti della rete aziendale o altri provider di identità. IAM si integra inoltre con AWS CloudTrail, fornendo informazioni dettagliate sulla registrazione e sull'identità per supportare i requisiti di controllo e conformità. Sfruttando queste funzionalità, puoi contribuire a garantire che l'accesso alle tue AWS risorse critiche sia strettamente controllato e sicuro.

## Accesso condiviso al tuo Account AWS
<a name="intro-shared-access"></a>

Puoi concedere ad altri utenti le autorizzazioni per amministrare e utilizzare le risorse nel tuo account AWS senza la necessità di condividere la password o la chiave di accesso. 

## Autorizzazioni granulari
<a name="intro-granular-permissions"></a>

Puoi concedere autorizzazioni diverse a diverse persone per diverse risorse. Ad esempio, potresti consentire ad alcuni utenti l'accesso completo ad Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3), Amazon DynamoDB, Amazon Redshift e altri servizi. AWS Per gli altri utenti, puoi consentire l'accesso in sola lettura solo ad alcuni bucket S3, oppure l'autorizzazione ad amministrare solo alcune istanze Amazon EC2 oppure l'autorizzazione ad accedere alle informazioni di fatturazione, ma nient'altro.

## Accesso sicuro alle AWS risorse per le applicazioni eseguite su Amazon EC2
<a name="intro-secure-access"></a>

Puoi utilizzare le funzionalità di IAM per fornire in maniera sicura le credenziali per le applicazioni che funzionano su istanze EC2. Queste credenziali forniscono all'applicazione le autorizzazioni per accedere ad altre risorse. AWS Alcuni esempi includono i bucket S3 e le tabelle DynamoDB. 

## Autenticazione a più fattori (MFA)
<a name="intro-mfa-iam"></a>

Puoi aggiungere l'autenticazione a due fattori per il tuo account e per i singoli utenti per maggiore sicurezza. Con MFA tu o i tuoi utenti dovete fornire non solo una password o la chiave di accesso che funzioni con il tuo account, ma anche un codice da un dispositivo appositamente configurato. Se utilizzi già una chiave di sicurezza FIDO con altri servizi e ha una configurazione AWS supportata, puoi utilizzarla WebAuthn per la sicurezza MFA. Per ulteriori informazioni, consulta [Configurazioni supportate per l'utilizzo di passkey e chiavi di sicurezza](id_credentials_mfa_fido_supported_configurations) 

## Federazione delle identità
<a name="intro-identity-federation-iam"></a>

Puoi consentire agli utenti che utilizzano già le password altrove, ad esempio nella tua rete aziendale o con un provider di identità Internet, di ottenere l'accesso temporaneo al tuo Account AWS. A questi utenti vengono concesse credenziali temporanee conformi alle raccomandazioni delle best practice di IAM. L'utilizzo della federazione delle identità migliora la sicurezza del tuo account AWS .

## Informazioni d'identità per la sicurezza
<a name="intro-identity-assurance"></a>

Se utilizzi [AWS CloudTrail](https://aws.amazon.com/cloudtrail/) riceverai i record del log che includono le informazioni su chi effettua le richieste per le risorse nel tuo account. Queste informazioni sono basate sulle identità IAM.

## Conformità PCI DSS
<a name="intro-pci-dss-compliance"></a>

IAM supporta l'elaborazione, l'archiviazione e la trasmissione di dati di carte di credito da parte di un esercente o di un provider di servizi, oltre a essere conforme allo standard Payment Card Industry Data Security Standard (PCI DSS). Per ulteriori informazioni su PCI DSS, incluso come richiedere una copia del PCI AWS Compliance Package, vedere [PCI](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/) DSS Level 1. 

# Quando si usa IAM?
<a name="when-to-use-iam"></a>

AWS Identity and Access Management è un servizio di infrastruttura di base che fornisce le basi per il controllo degli accessi basato sulle identità interne. AWS Usi IAM ogni volta che accedi al tuo AWS account. Il modo in cui utilizzi IAM dipenderà dalle responsabilità e dalle funzioni dei processi specifiche all'interno della tua organizzazione. Gli utenti dei AWS servizi utilizzano IAM per accedere alle AWS risorse necessarie per il loro day-to-day lavoro, con gli amministratori che concedono le autorizzazioni appropriate. Gli amministratori IAM, d'altra parte, sono responsabili della gestione delle identità IAM e della stesura di policy per controllare l'accesso alle risorse. Indipendentemente dal tuo ruolo, interagisci con IAM ogni volta che autentichi e autorizzi l'accesso alle risorse. AWS Ciò potrebbe comportare l'accesso come utente IAM, l'assunzione di un ruolo IAM o l'uso della federazione delle identità per un accesso senza interruzioni. Comprendere le varie funzionalità e i casi d'uso di IAM è fondamentale per gestire efficacemente l'accesso sicuro al tuo AWS ambiente. Quando si tratta di creare policy e autorizzazioni, IAM offre un approccio flessibile e granulare. È possibile definire policy di attendibilità per controllare quali principali possono assumere un ruolo, oltre a policy basate sull'identità che specificano le azioni e le risorse a cui un utente o un ruolo può accedere. Configurando queste policy IAM, puoi contribuire a garantire che gli utenti e le applicazioni dispongano del livello di autorizzazioni appropriato per eseguire le attività richieste.

## Quando si eseguono diverse funzioni lavorative
<a name="security_iam_audience"></a>

AWS Identity and Access Management è un servizio di infrastruttura di base che fornisce le basi per il controllo degli accessi basato sulle identità interne AWS. IAM viene utilizzato ogni volta che accedi al tuo account AWS .

 Le modalità di utilizzo di IAM cambiano in base alle operazioni eseguite in AWS.
+ Utente del servizio: se utilizzi un AWS servizio per svolgere il tuo lavoro, l'amministratore ti fornisce le credenziali e le autorizzazioni necessarie. All'aumentare del numero di funzionalità utilizzate per il lavoro, potrebbero essere necessarie altre autorizzazioni. La comprensione della gestione dell’accesso consente di richiedere le autorizzazioni corrette all’amministratore.
+ Amministratore del servizio: se sei responsabile di una AWS risorsa presso la tua azienda, probabilmente hai pieno accesso a IAM. Il tuo compito è determinare le funzionalità e le risorse IAM a cui gli utenti del servizio devono accedere. Devi quindi inviare le richieste all’amministratore IAM per modificare le autorizzazioni degli utenti del servizio. Esamina le informazioni contenute in questa pagina per comprendere i concetti di base relativi a IAM. 
+ Amministratore IAM: se sei un amministratore IAM, puoi gestire le identità IAM e scrivere policy per gestire l'accesso ad IAM. 

 

## Quando sei autorizzato ad accedere alle AWS risorse
<a name="security_iam_authentication-intro"></a>

L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS

Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.

Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.

## Quando accedi come utente IAM
<a name="security_iam_authentication-iamuser"></a>

Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee nella Guida per l'](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)utente IAM.*

Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.

## Quando assumi un ruolo IAM
<a name="security_iam_authentication-iamrole"></a>

Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.

I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.

## Quando crei policy e autorizzazioni
<a name="getting-started_trust-policies"></a>

Concedi le autorizzazioni a un utente creando una policy che è un documento che elenca le operazioni che un utente può eseguire e le risorse che tali operazioni possono influenzare. Qualsiasi operazione o risorsa che non è esplicitamente consentita viene negata come impostazione predefinita. Le policy possono essere create e collegate ai principali (utenti, gruppi di utenti, ruoli assunti da utenti e risorse).

Puoi utilizzare queste policy con un ruolo IAM:
+ **Policy di attendibilità**: definisce quali [principali](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#principal) possono assumere il ruolo e a quali condizioni. Una policy di attendibilità è un tipo specifico di policy basata sulle risorse per i ruoli IAM. Un ruolo può avere una sola policy di attendibilità.
+ **Policy basate sull'identità (in linea e gestite)**: queste policy definiscono le autorizzazioni che l'utente del ruolo è in grado di eseguire (o che non può eseguire) e su quali risorse.

Utilizza gli [Esempi di policy basate su identità IAM](access_policies_examples.md) per definire le autorizzazioni per le identità IAM. Una volta trovata la policy desiderata, seleziona view the policy (visualizza la policy) per consultare il JSON della policy. Puoi utilizzare il documento di policy JSON come modello per le tue policy.

**Nota**  
Se utilizzi il Centro identità IAM per gestire i tuoi utenti, assegni set di autorizzazioni nel Centro identità IAM invece di collegare una policy di autorizzazioni a un principale. Quando si assegna un set di autorizzazioni a un gruppo o utente in Centro identità AWS IAM, IAM Identity Center crea i ruoli IAM corrispondenti in ciascun account e associa le politiche specificate nel set di autorizzazioni a tali ruoli. Il Centro identità IAM gestisce il ruolo e consente agli utenti autorizzati che hai definito di assumerlo. Se modifichi il set di autorizzazioni, il Centro identità IAM garantisce che le policy e i ruoli IAM corrispondenti vengano aggiornati di conseguenza.  
Per ulteriori informazioni su IAM Identity Center, consulta [Cos'è IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l'utente di AWS IAM Identity Center *.

# Come viene gestito IAM?
<a name="intro-managing-iam"></a>

La gestione AWS Identity and Access Management all'interno di un AWS ambiente implica l'utilizzo di una varietà di strumenti e interfacce. Il metodo più comune è l' Console di gestione AWS interfaccia basata sul Web che consente di eseguire un'ampia gamma di attività amministrative IAM, dalla creazione di utenti e ruoli alla configurazione delle autorizzazioni.

Per gli utenti che si sentono più a proprio agio con le interfacce a riga di comando, AWS fornisce due set di strumenti da riga di comando: il e il. AWS Command Line Interface AWS Tools for Windows PowerShell Questi consentono di emettere comandi relativi a IAM direttamente dal terminale, spesso in modo più efficiente rispetto alla navigazione nella console. Inoltre, AWS CloudShell consente di eseguire comandi CLI o SDK direttamente dal browser Web, utilizzando le autorizzazioni associate all'accesso alla console.

Oltre alla console e alla riga di comando, AWS offre Software Development Kit (SDKs) per vari linguaggi di programmazione, che consentono di integrare le funzionalità di gestione IAM direttamente nelle applicazioni. In alternativa, puoi accedere a IAM a livello di codice usando l'API Query IAM che ti consente di inviare richieste HTTPS direttamente al servizio. L'utilizzo di questi diversi approcci di gestione offre la flessibilità necessaria per incorporare IAM nei flussi di lavoro e nei processi esistenti.

## Usa il Console di gestione AWS
<a name="intro-managing-iam-section-1"></a>

La console di AWS gestione è un'applicazione Web che comprende e fa riferimento a un'ampia raccolta di console di servizio per la gestione AWS delle risorse. Quando effettui l'accesso per la prima volta, visualizzi la home page della console. La home page fornisce l'accesso a ciascuna console di servizio e offre un'unica posizione per accedere alle informazioni per l'esecuzione delle attività AWS correlate. I servizi e le applicazioni disponibili dopo l'accesso alla console dipendono dalle AWS risorse a cui si è autorizzati ad accedere. È possibile ottenere le autorizzazioni per le risorse assumendo un ruolo, facendo parte di un gruppo al quale sono state concesse le autorizzazioni oppure ricevendo un'autorizzazione esplicita. Per un account AWS autonomo, l'accesso alle risorse viene configurato dall'utente root o dall'amministratore IAM. Per AWS Organizations, l'accesso alle risorse viene configurato dall'account di gestione o dall'amministratore delegato.

Se prevedi che persone utilizzino la console di AWS gestione per gestire AWS le risorse, ti consigliamo di configurare gli utenti con credenziali temporanee come [best](best-practices.md) practice di sicurezza. Gli utenti IAM che hanno assunto un ruolo, i principali federati e gli utenti in Centro identità IAM dispongono di credenziali temporanee, mentre l’utente IAM e l’utente root dispongono di credenziali a lungo termine. Le credenziali dell'utente root forniscono l'accesso completo a Account AWS, mentre gli altri utenti dispongono di credenziali che forniscono l'accesso alle risorse concesse loro dalle politiche IAM.

L'esperienza di accesso è diversa per i diversi tipi di utenti. Console di gestione AWS 
+ Gli utenti IAM e l'utente root accedono dall'URL di AWS accesso principale (). https://signin.aws.amazon.com Una volta effettuato l'accesso, hanno accesso alle risorse dell'account per il quale hanno ricevuto l'autorizzazione.

  Per accedere come utente root è necessario disporre dell'indirizzo e-mail e della password dell'utente root.

  Per accedere come utente IAM devi disporre del Account AWS numero o dell'alias, del nome utente IAM e della password utente IAM. 

  Ti consigliamo di limitare gli utenti IAM del tuo account a situazioni specifiche che richiedono credenziali a lungo termine, ad esempio per l'accesso di emergenza, e di utilizzare l'utente root solo per le [attività che richiedono le credenziali dell'utente root](id_root-user.md#root-user-tasks).

  Per comodità, la pagina di AWS accesso utilizza un cookie del browser per ricordare il nome utente IAM e le informazioni sull'account. La volta successiva che l'utente accede a qualsiasi pagina di Console di gestione AWS, la console utilizza il cookie per reindirizzare l'utente alla pagina di accesso dell'account.

  Per evitare che le tue credenziali vengano riutilizzate dopo il tuo accesso, esci dalla console al termine della sessione.
+ Gli utenti di IAM Identity Center accedono utilizzando un portale di AWS accesso specifico, unico per la loro organizzazione. Una volta effettuato l'accesso, possono scegliere a quale account o applicazione accedere. Se scelgono di accedere a un account, scelgono quale set di autorizzazioni utilizzare per la sessione di gestione. 
+ I principali federati OIDC e SAML gestiti in un provider di identità esterno collegato a un Account AWS eseguono l’accesso tramite un portale di accesso aziendale personalizzato. Le risorse AWS disponibili per gli utenti dipendono dalle policy selezionate dall’organizzazione.

**Nota**  
Per fornire un ulteriore livello di sicurezza, l'utente root, gli utenti IAM e gli utenti di IAM Identity Center possono far verificare l'autenticazione a più fattori (MFA) prima AWS di concedere l'accesso alle risorse. AWS Quando l'MFA è abilitata, devi avere accesso anche al dispositivo MFA per accedere.

*Per ulteriori informazioni su come diversi utenti accedono alla console di gestione, consulta [Accedere alla console di AWS gestione nella Guida per l'](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html)utente di accesso.AWS *

## AWS Strumenti da riga di comando
<a name="management-method-cli"></a>

È possibile utilizzare gli strumenti della riga di AWS comando per impartire comandi dalla riga di comando del sistema per eseguire IAM e AWS attività. L'utilizzo della riga di comando può essere più veloce e semplice rispetto all'uso della console. Gli strumenti da riga di comando sono utili anche se desideri creare script che eseguano AWS attività.

AWS fornisce due set di strumenti da riga di comando: the [AWS Command Line Interface](https://aws.amazon.com/cli/)(AWS CLI) e the [AWS Tools for Windows PowerShell](https://aws.amazon.com/powershell/). Per informazioni sull'installazione e l'utilizzo di AWS CLI, consulta la [Guida AWS Command Line Interface per l'utente](https://docs.aws.amazon.com/cli/latest/userguide/). Per informazioni sull'installazione e l'utilizzo degli strumenti per Windows PowerShell, consulta la [Guida per AWS Strumenti per PowerShell l'utente](https://docs.aws.amazon.com/powershell/latest/userguide/).

Dopo aver effettuato l'accesso alla console, puoi utilizzarla AWS CloudShell dal tuo browser per eseguire i comandi CLI o SDK. Le autorizzazioni per l'accesso alle AWS risorse si basano sulle credenziali utilizzate per accedere alla console. A seconda della tua esperienza, potresti ritenere che la CLI sia un metodo più efficiente per gestire il tuo Account AWS. Per ulteriori informazioni, consulta [Utilizzato AWS CloudShell per lavorare con AWS Identity and Access Management](using-aws-with-cloudshell.md)

### AWS Interfaccia a riga di comando (CLI) e kit di sviluppo software () SDKs
<a name="management-method-cli-sdk"></a>

Gli utenti di IAM Identity Center e IAM utilizzano metodi diversi per autenticare le proprie credenziali quando si autenticano tramite la CLI o le interfacce applicative () nell'area associata. APIs SDKs 

Le credenziali e le impostazioni di configurazione si trovano in più posizioni, come le variabili di sistema o di ambiente utente, i file di AWS configurazione locali o sono dichiarate esplicitamente sulla riga di comando come parametro. Alcune posizioni hanno la precedenza su altre.

Sia Centro identità IAM sia IAM forniscono chiavi di accesso che possono essere utilizzate con la CLI o l'SDK. Le chiavi di accesso Centro identità IAM sono credenziali temporanee che possono essere aggiornate automaticamente e sono consigliate rispetto alle chiavi di accesso a lungo termine associate agli utenti IAM.

Puoi gestire l' Account AWS utilizzo della CLI o dell'SDK AWS CloudShell dal tuo browser. Se utilizzi CloudShell per eseguire comandi CLI o SDK, devi prima accedere alla console. Le autorizzazioni per l'accesso alle AWS risorse si basano sulle credenziali utilizzate per accedere alla console. A seconda della tua esperienza, potresti ritenere che la CLI sia un metodo più efficiente per gestire il tuo Account AWS.

Per lo sviluppo di applicazioni, puoi scaricare la CLI o l'SDK sul tuo computer e accedere dal prompt dei comandi o da una finestra Docker. In questo scenario, configuri l'autenticazione e le credenziali di accesso come parte dello script della CLI o dell'applicazione SDK. È possibile configurare l'accesso a livello di programmazione alle risorse in diversi modi, a seconda dell'ambiente e dell'accesso a disposizione. 
+ Le opzioni consigliate per l'autenticazione del codice locale con il AWS servizio sono IAM Identity Center e IAM Roles Anywhere
+ Le opzioni consigliate per l'autenticazione del codice in esecuzione all'interno di un ambiente AWS consistono nell'utilizzare i ruoli IAM o le credenziali Centro identità IAM.

Quando accedi utilizzando il portale di AWS accesso, puoi ottenere credenziali a breve termine dalla pagina iniziale in cui scegli il tuo set di autorizzazioni. Queste credenziali hanno una durata definita e non si aggiornano automaticamente. Se desideri utilizzare queste credenziali, dopo aver effettuato l'accesso al AWS portale, scegli il set di autorizzazioni Account AWS e quindi scegli. Seleziona Accesso da **riga di comando o accesso programmatico** per visualizzare le opzioni che puoi utilizzare per accedere alle AWS risorse a livello di codice o dalla CLI. Per ulteriori informazioni su questi metodi, consulta la pagina [Ottenimento e aggiornamento di credenziali temporanee](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtogetcredentials.html#how-to-get-temp-credentials) nella *Guida per l'utente di Centro identità IAM*. Queste credenziali vengono spesso utilizzate durante lo sviluppo di applicazioni per testare rapidamente il codice.

Ti consigliamo di utilizzare le credenziali IAM Identity Center che si aggiornano automaticamente durante l'automazione dell'accesso alle risorse. AWS Se hai configurato utenti e set di autorizzazioni in Centro identità IAM, utilizza il comando `aws configure sso` per impiegare una procedura guidata da linea di comando che ti aiuterà a identificare le credenziali a tua disposizione e a memorizzarle in un profilo. Per ulteriori informazioni sulla configurazione del profilo, consulta la pagina [Configurazione del profilo con la procedura guidata `aws configure sso`](https://docs.aws.amazon.com/cli/latest/userguide/sso-configure-profile-token.html#sso-configure-profile-token-auto-sso) della *Guida per l'utente dell'interfaccia della linea di comando AWS per la versione 2*.

**Nota**  
Molte applicazioni di esempio utilizzano chiavi di accesso a lungo termine associate agli utenti IAM o all'utente root. È consigliabile utilizzare le credenziali a lungo termine solo all'interno di un ambiente di sperimentazione (sandbox) come parte di un'esercitazione. Esamina le [alternative alle chiavi di accesso a lungo termine](security-creds-programmatic-access.md#security-creds-alternatives-to-long-term-access-keys) e pianifica la transizione del codice per utilizzare credenziali alternative, come le credenziali Centro identità IAM o i ruoli IAM, il prima possibile. Dopo la transizione del codice, elimina le chiavi di accesso. 

*Per ulteriori informazioni sulla configurazione della CLI, [consulta Installare o aggiornare la versione più recente della AWS CLI nella Guida per l'](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)utente dell'*interfaccia a riga di comando per AWS la versione 2 [e Credenziali di autenticazione e accesso](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-authentication.html) nella Guida per l'utente dell'interfaccia* a AWS riga di comando*

*Per ulteriori informazioni sulla configurazione dell'SDK, consulta l'[autenticazione di IAM Identity Center](https://docs.aws.amazon.com/sdkref/latest/guide/access-sso.html) nella and Tools Reference Guide *AWS SDKs e [IAM Roles Anywhere](https://docs.aws.amazon.com/sdkref/latest/guide/access-rolesanywhere.html) nella and Tools Reference Guide*.AWS SDKs *

## Usa la AWS SDKs
<a name="intro-managing-iam-section-2"></a>

AWS fornisce SDKs (kit di sviluppo software) costituiti da librerie e codice di esempio per vari linguaggi e piattaforme di programmazione (Java, Python, Ruby, .NET, iOS, Android, ecc.). SDKs Forniscono un modo conveniente per creare un accesso programmatico a IAM e. AWS Ad esempio, SDKs si occupano di attività come la firma crittografica delle richieste, la gestione degli errori e il ritentativo automatico delle richieste. Per informazioni su AWS SDKs, incluso come scaricarli e installarli, consulta la pagina [Tools for Amazon Web Services](https://aws.amazon.com/tools/).

## Usare l'API Query IAM
<a name="intro-managing-iam-section-3"></a>

Puoi accedere a IAM e in modo AWS programmatico utilizzando l'API IAM Query, che consente di inviare richieste HTTPS direttamente al servizio. Quando utilizzi l'API Query, devi includere il codice per firmare in modo digitale le richieste utilizzando le tue credenziali. Per ulteriori informazioni, consulta [Chiamata all'API IAM utilizzando le richieste di query HTTP](programming.md) e [Documentazione di riferimento dell'API IAM](https://docs.aws.amazon.com/IAM/latest/APIReference/).

# Funzionamento di IAM
<a name="intro-structure"></a>

AWS Identity and Access Management fornisce l'infrastruttura necessaria per controllare l'autenticazione e l'autorizzazione dei tuoi Account AWS. 

Innanzitutto, per autenticarsi con AWS, un utente umano o un’applicazione utilizza le proprie credenziali di accesso. IAM abbina le credenziali di accesso a un principale (un utente IAM, un utente AWS STS federato, un ruolo IAM o un'applicazione) considerato affidabile da Account AWS e autentica l'autorizzazione all'accesso. AWS

Successivamente, IAM effettua una richiesta per concedere al principale l'accesso alle risorse. IAM concede o nega l'accesso in risposta a una richiesta di autorizzazione. Ad esempio, quando accedi per la prima volta alla console e ti trovi nella home page, non stai accedendo a un servizio specifico. Quando selezioni un servizio, invii una richiesta di autorizzazione a IAM per tale servizio. IAM verifica che la tua identità sia nell'elenco degli utenti autorizzati, determina quali policy controllano il livello di accesso concesso e valuta qualsiasi altra policy che potrebbe essere in vigore. I responsabili interni Account AWS o di un'altra persona di cui ti fidi possono effettuare Account AWS richieste di autorizzazione.

Una volta autorizzato, il principale può eseguire azioni o operazioni sulle risorse del tuo Account AWS. Ad esempio, il principale potrebbe avviare una nuova Amazon Elastic Compute Cloud istanza, modificare l'appartenenza al gruppo IAM o eliminare i Amazon Simple Storage Service bucket. Il diagramma seguente illustra questo processo nell'infrastruttura IAM:

![\[Questo diagramma mostra come un principale viene autenticato e autorizzato dal servizio IAM a eseguire azioni o operazioni su altri AWS servizi o risorse.\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/intro-diagram _policies_800.png)


## Componenti di una richiesta
<a name="intro-structure-request"></a>

Quando un principale tenta di utilizzare l' Console di gestione AWS, l' AWS API o il AWS CLI, quel principale invia una *richiesta* a. AWS La richiesta include le informazioni seguenti:
+ **Azioni o operazioni**: le azioni o le operazioni che il principale desidera eseguire, ad esempio un'azione nell' Console di gestione AWS o un'operazione nell' AWS API AWS CLI o.
+ **Risorse**: l'oggetto AWS risorsa in base al quale il principale richiede di eseguire un'azione o un'operazione.
+ **Principale** – Persona o applicazione che utilizza un'entità (utente o ruolo) per inviare la richiesta. Le informazioni sul principale includono le policy di autorizzazione. 
+ **Dati di ambiente**: le informazioni sull'indirizzo IP, l'agente utente, lo stato abilitato per SSL e il timestamp.
+ **Dati delle risorse**: i dati relativi alla risorsa richiesta, ad esempio un nome di tabella DynamoDB o un tag su un'istanza Amazon EC2.

AWS raccoglie le informazioni sulla richiesta in un *contesto di richiesta*, che IAM valuta per autorizzare la richiesta.

## Come vengono autenticati i principali
<a name="intro-structure-authentication"></a>

Un principale accede AWS utilizzando le proprie credenziali, che IAM autentica per consentire al principale di inviare una richiesta. AWS Alcuni servizi, come Amazon S3 e AWS STS, consentono richieste specifiche da parte di utenti anonimi. Tuttavia, si tratta di un'eccezione alla regola. Ogni tipo di utente viene sottoposto all'autenticazione.
+ **Utente root**: le credenziali di accesso utilizzate per l'autenticazione sono l'indirizzo e-mail utilizzato per creare Account AWS e la password specificata in quel momento. 
+ **Principal federato**: il tuo provider di identità ti autentica e trasmette le tue credenziali a AWS, senza che tu debba accedere direttamente a. AWS Sia il Centro identità IAM che IAM supportano la federazione delle identità.
+ **Utenti in** accesso Elenco AWS IAM Identity Center*(non federati)*: gli utenti creati direttamente nella directory predefinita di IAM Identity Center accedono utilizzando il portale di AWS accesso e forniscono nome utente e password. 
+ **Utente IAM**: accedi fornendo il tuo ID account o alias, il nome utente e la password. Per autenticare i carichi di lavoro dall'API AWS CLI, puoi utilizzare credenziali temporanee assumendo un ruolo oppure potresti utilizzare credenziali a lungo termine fornendo la chiave di accesso e la chiave segreta.

  Per ulteriori informazioni sulle entità IAM, consulta [Utenti IAM](id_users.md) e [Ruoli IAM](id_roles.md).

AWS consiglia di utilizzare l'autenticazione a più fattori (MFA) con tutti gli utenti per aumentare la sicurezza del proprio account. Per ulteriori informazioni su MFA, consulta [AWS Autenticazione a più fattori in IAM](id_credentials_mfa.md). 

## Nozioni di base sulle autorizzazioni e sulla policy di autorizzazione
<a name="intro-structure-authorization"></a>

L'autorizzazione si riferisce al principale che dispone delle autorizzazioni necessarie per completare la richiesta. Durante l'autorizzazione, IAM identifica le policy che si applicano alla richiesta utilizzando i valori dal contesto della richiesta. Quindi, utilizza le policy per determinare se accettare o rifiutare la richiesta. IAM memorizza la maggior parte delle policy di autorizzazione sotto forma di [documenti JSON](access_policies.md#access_policies-json) che specificano le autorizzazioni per le entità principali. 

Vi sono [diversi tipi di policy](access_policies.md) che possono influire su una richiesta di autorizzazione. Per fornire agli utenti le autorizzazioni per accedere alle AWS risorse del tuo account, puoi utilizzare politiche basate sull'identità. Le policy basate sulle risorse possono concedere l'[accesso multi-account](access_permissions-required.md#UserPermissionsAcrossAccounts). Se devi effettuare una richiesta in un account differente, una policy nell'altro account deve consentirti di accedere alla risorsa *e* l'entità IAM che utilizzi per effettuare la richiesta deve avere una policy basata su un'identità che consenta la richiesta.

IAM controlla ogni policy applicabile al contesto della richiesta. La valutazione della policy IAM utilizza una *negazione esplicita*, il che significa che se una singola policy di autorizzazione include un'operazione negata, IAM nega l'intera richiesta e interrompe la valutazione. Poiché le richieste vengono *rifiutate per impostazione predefinita*, le policy di autorizzazione applicabili devono consentire ogni parte della richiesta perché IAM autorizzi la richiesta. La logica di valutazione per una richiesta all'interno di un singolo account segue queste regole di base:
+ Come impostazione predefinita, tutte le richieste vengono negate. (In generale, le richieste effettuate utilizzando le credenziali Utente root dell'account AWS per risorse nell'account sono sempre consentite). 
+ Un'autorizzazione esplicita in una policy di autorizzazione qualsiasi (basata su identità o basata su risorse) sostituisce questa impostazione predefinita.
+ L'esistenza di una policy di controllo dei AWS Organizations servizi (SCP) o di una policy di controllo delle risorse (RCP), di un limite di autorizzazioni IAM o di una policy di sessione ha la precedenza sull'autorizzazione. Se esiste uno o più di questi tipi di policy, devono tutti consentire la richiesta. In caso contrario, viene rifiutata implicitamente. *Per ulteriori informazioni su SCPs e RCPs, consulta le [politiche di autorizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_authorization_policies.html) nella Guida per l'utente. AWS OrganizationsAWS Organizations *
+ Un rifiuto esplicito in una policy sostituisce qualsiasi permesso in qualsiasi policy.

Per ulteriori informazioni, consulta [Logica di valutazione delle policy](reference_policies_evaluation-logic.md). <a name="intro-structure-actions"></a>

Dopo che IAM ha autenticato e autorizzato il principale, IAM approva le azioni o le operazioni contenute nella richiesta valutando la policy di autorizzazione applicabile al principale. Ogni AWS servizio definisce le azioni (operazioni) che supporta e include le operazioni che è possibile eseguire su una risorsa, come la visualizzazione, la creazione, la modifica e l'eliminazione di tale risorsa. La policy di autorizzazione che si applica al principale deve includere le azioni necessarie per eseguire un'operazione. Per ulteriori informazioni su come IAM valuta le policy di autorizzazione, consulta[Logica di valutazione delle policy](reference_policies_evaluation-logic.md).

Il servizio definisce un insieme di azioni che un principale può eseguire su ogni risorsa. Quando crei policy di autorizzazione, assicurati di includere le azioni che desideri che l'utente sia in grado di eseguire. Ad esempio, IAM supporta circa 40 azioni per una risorsa di utente, incluse le seguenti azioni di base:
+ `CreateUser`
+ `DeleteUser`
+ `GetUser`
+ `UpdateUser`

Inoltre, è possibile specificare condizioni nella policy di autorizzazione che consentano l'accesso alle risorse quando la richiesta soddisfa le condizioni specificate. Ad esempio, potresti volere che una istruzione di policy diventi effettiva solo dopo una data specifica o che consenta l'accesso solo quando nella richiesta API è presente un valore specifico. Per specificare le condizioni, è possibile utilizzare l'elemento [`Condition`](reference_policies_elements_condition_operators.md) di un'istruzione di policy. 

Dopo che IAM ha approvato le operazioni nella richiesta, il principale può lavorare con le risorse correlate all'interno dell'account. Una risorsa è un oggetto esistente all'interno di un servizio. Esempi sono un'istanza Amazon EC2, un utente IAM e un bucket Amazon S3. Se il principale crea una richiesta per eseguire un'azione su una risorsa che non è inclusa nella policy di autorizzazione, il servizio nega la richiesta. Ad esempio, se disponi dell'autorizzazione per eliminare un ruolo IAM ma richiedi di eliminare un gruppo IAM, la richiesta ha esito negativo se non disponi dell'autorizzazione per eliminare i gruppi IAM. Per ulteriori informazioni sulle azioni, le risorse e le chiavi di condizione supportate dai diversi AWS servizi, consulta [Azioni, risorse e chiavi di condizione per AWS i servizi](reference_policies_actions-resources-contextkeys.html).

# Confrontare le identità IAM e le credenziali
<a name="introduction_identity-management"></a>

Le identità gestite AWS Identity and Access Management sono utenti IAM, ruoli IAM e gruppi IAM. Queste identità si aggiungono all'utente root che AWS ha creato insieme al tuo. Account AWS

È vivamente consigliato di non utilizzare l'utente root per le attività quotidiane, anche quelle amministrative. Invece, fornisci ulteriori utenti e concedi loro le autorizzazioni necessarie per eseguire le attività necessarie. Puoi aggiungere utenti aggiungendo persone alla tua directory del Centro identità IAM, federando un provider di identità esterno con il Centro identità IAM o IAM o creando utenti IAM con privilegi minimi.

Per una maggiore sicurezza, ti consigliamo di centralizzare l'accesso root per aiutarti a proteggere centralmente le credenziali dell'utente root del tuo Account AWS utilizzo gestito. AWS Organizations[Gestire centralmente l'accesso root per gli account membri](id_root-user.md#id_root-user-access-management)consente di rimuovere e prevenire centralmente il ripristino a lungo termine delle credenziali degli utenti root, prevenendo accessi root involontari su larga scala. Dopo aver abilitato l'accesso root centralizzato, è possibile ipotizzare una sessione con privilegi per eseguire azioni sugli account membri.

Dopo aver configurato gli utenti, puoi concedere l'accesso ai tuoi Account AWS utenti a persone specifiche e fornire loro le autorizzazioni per accedere alle risorse.

Come [best practice, AWS consigliamo](best-practices.md) di richiedere agli utenti umani di assumere un ruolo IAM per l'accesso, AWS in modo che utilizzino credenziali temporanee. Se gestisci le identità nella directory del Centro identità IAM o utilizzi la federazione con un provider di identità, stai seguendo le best practice.

## Termini
<a name="intro-structure-terms"></a>

Questi termini sono comunemente usati quando si lavora con le identità IAM:

**Risorsa IAM**  
Il servizio IAM archivia queste risorse. Puoi aggiungerle, modificarle e rimuoverle dalla console.  
+ Utente IAM
+ Gruppo IAM
+ Ruolo IAM
+ Policy di autorizzazione
+ oggetto del provider di identità

**Entità IAM**  
Risorse IAM AWS utilizzate per l'autenticazione. Specifica l'entità come principale in una policy basata sulle risorse.   
+ Utente IAM
+ Ruolo IAM

**Identità IAM**  
La risorsa IAM autorizzata nelle policy per eseguire azioni e accedere alle risorse. Le identità includono utenti IAM, ruoli IAM e gruppi IAM.   
  

![\[Questo diagramma mostra che l'utente IAM e il ruolo IAM sono principali che sono anche entità e identità, ma l'utente root è un principale che non è né un'entità né un'identità. Il diagramma indica anche che i gruppi IAM sono identità. L'autenticazione IAM controlla l'accesso alle identità utilizzando le policy, ma l'utente root ha accesso completo alle risorse AWS e non può essere limitato da policy IAM basate sull'identità o sulle risorse.\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/iam-terms-2.png)


**Principali**  
Un Utente root dell'account AWS utente IAM o un ruolo IAM che può richiedere un'azione o un'operazione su una AWS risorsa. I principali includono utenti umani, carichi di lavoro, principali federati e ruoli assunti. Dopo l'autenticazione, IAM concede al principale credenziali permanenti o temporanee a cui effettuare richieste AWS, a seconda del tipo principale.   
Gli *utenti umani* sono noti anche come *identità umane*, sono le persone, gli amministratori, gli sviluppatori, gli operatori e i consumatori delle tue applicazioni.  
I *carichi di lavoro* sono una raccolta di risorse e codice che fornisce valore aziendale, ad esempio un'applicazione, un processo, strumenti operativi e altri componenti.  
I *principali federati* sono utenti la cui identità e le credenziali sono gestite da un altro provider di identità, come Active Directory, Okta o Microsoft Entra.  
I *ruoli IAM* sono un'identità IAM che puoi creare nell'account che ha le autorizzazioni specifiche che determinano ciò che l'identità può e non può fare. Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque.  
IAM concede agli utenti IAM e all'utente root credenziali a lungo termine e ai ruoli IAM credenziali temporanee. utenti in Centro identità AWS IAM, i presidi federati OIDC e SAML assumono ruoli IAM al momento dell'accesso, il che garantisce loro credenziali temporanee. AWS Come [best practice](best-practices.md), consigliamo di richiedere agli utenti umani e ai carichi di lavoro di accedere alle risorse utilizzando credenziali temporanee. AWS 

## Differenza tra gli utenti IAM e gli utenti nel Centro identità IAM
<a name="intro-identity-users"></a>

 Gli **utenti IAM** non sono account separati, ma singoli utenti all'interno del tuo account. Ogni utente dispone della propria password per accedere a. Console di gestione AWS Puoi anche assegnare a ciascun utente una diversa chiave di accesso, per consentirgli di apportare richieste programmatiche e utilizzare le risorse del tuo account.

Gli utenti IAM e le relative chiavi di accesso dispongono di credenziali a lungo termine per AWS le tue risorse. L'uso principale per gli utenti IAM è fornire ai carichi di lavoro che non possono utilizzare i ruoli IAM la possibilità di effettuare richieste programmatiche ai AWS servizi utilizzando l'API o la CLI. 

**Nota**  
Per gli scenari in cui sono necessari utenti IAM con accesso a livello di programmazione e credenziali a lungo termine, si consiglia di aggiornare le chiavi di accesso all'occorrenza. Per ulteriori informazioni, consulta [Aggiornare le chiavi di accesso](id-credentials-access-keys-update.md).

Le identità della forza lavoro (persone) hanno esigenze di autorizzazione diverse a seconda del ruolo **utenti in Centro identità AWS IAM**che svolgono e possono lavorare in vari modi all'interno dell'organizzazione. Account AWS Se hai casi d'uso che richiedono chiavi di accesso, puoi supportarli con. utenti in Centro identità AWS IAM Le persone che accedono tramite il portale di AWS accesso possono ottenere le chiavi di accesso con credenziali a breve termine per le tue AWS risorse. Per una gestione centralizzata degli accessi, consigliamo di utilizzare [AWS IAM Identity Center (IAM Identity Center )](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) per gestire l'accesso ai tuoi account e le autorizzazioni all'interno di questi account. IAM Identity Center è configurato automaticamente con una directory Identity Center come fonte di identità predefinita in cui puoi aggiungere persone e gruppi e assegnare il loro livello di accesso alle tue risorse. AWS Per ulteriori informazioni, consulta [Che cos'è AWS IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l'utente di AWS IAM Identity Center *.

La differenza principale tra questi due tipi di utenti è che gli utenti di IAM Identity Center assumono automaticamente un ruolo IAM al momento dell'accesso AWS prima di accedere alla console di gestione o AWS alle risorse. I ruoli IAM concedono credenziali temporanee ogni volta che l'utente accede a. AWS Affinché gli utenti IAM possano accedere utilizzando un ruolo IAM, devono avere l'autorizzazione ad assumere e cambiare ruolo e devono scegliere esplicitamente di passare al ruolo che desiderano assumere dopo aver effettuato l'accesso all'account. AWS 

## Federare gli utenti da un'origine di identità esistente
<a name="intro-identity-federation"></a>

Se gli utenti dell'organizzazione sono già autenticati quando accedono alla rete aziendale, non sarà necessario creare utenti IAM o utenti nel Centro identità IAM separati. Puoi invece *federare* queste identità utente AWS utilizzando IAM o. AWS IAM Identity Center I principali federati OIDC e SAML assumono un ruolo IAM che fornisce loro le autorizzazioni per accedere a risorse specifiche. Per ulteriori informazioni sui ruoli, consulta [Termini e concetti dei ruoli](id_roles.md#id_roles_terms-and-concepts).

![\[Questo diagramma mostra come un ente federato può ottenere credenziali di AWS sicurezza temporanee per accedere alle risorse del proprio. Account AWS\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/iam-intro-federation.diagram.png)


La federazione risulta particolarmente utile nei casi seguenti: 
+ **Gli utenti esistono già in una directory aziendale.** 

  Se la directory aziendale è compatibile con Security Assertion Markup Language 2.0 (SAML 2.0), è possibile configurare la directory aziendale per fornire l'accesso Single Sign-On (SSO) ai propri utenti. Console di gestione AWS Per ulteriori informazioni, consulta [Scenari comuni per le credenziali temporanee](id_credentials_temp.md#sts-introduction). 

  Se la tua directory aziendale non è compatibile con SAML 2.0, puoi creare un'applicazione di identity broker per fornire l'accesso Single Sign-On (SSO) ai tuoi utenti. Console di gestione AWS Per ulteriori informazioni, consulta [Abilita l'accesso personalizzato del broker di identità alla AWS console](id_roles_providers_enable-console-custom-url.md). 

  Se la directory aziendale è Microsoft Active Directory, è possibile utilizzare AWS IAM Identity Center per connettere una directory autogestita in Active Directory o una directory [AWS Directory Service](https://aws.amazon.com/directoryservice/)per stabilire un rapporto di fiducia tra la directory aziendale e la propria Account AWS. 

  Se utilizzi un provider di identità (IdP) esterno come Okta o Microsoft Entra per gestire gli utenti, puoi AWS IAM Identity Center utilizzarlo per stabilire un rapporto di fiducia tra il tuo IdP e il tuo. Account AWS Per ulteriori informazioni, consulta [Connessione a un provider di identità esterno](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) nella *Guida per l'utente di AWS IAM Identity Center *.
+ **I tuoi utenti dispongono di identità Internet.**

  Se stai creando un'app mobile o un'applicazione Web che può consentire agli utenti di identificarsi tramite un provider di identità Internet, come Login with Amazon, Facebook, Google o qualsiasi provider di identità compatibile con OpenID Connect (OIDC), puoi decidere di utilizzare la federazione per accedere ad AWS. Per ulteriori informazioni, consulta [Federazione OIDC](id_roles_providers_oidc.md). 
**Suggerimento**  
Per la federazione delle identità con i provider di identità Internet, ti consigliamo di utilizzare [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/what-is-amazon-cognito.html).

## Diversi metodi per fornire l'accesso agli utenti
<a name="AccessControlMethods"></a>

Ecco i modi in cui puoi fornire l'accesso alle tue risorse. AWS 


****  

| Tipo di accesso utente | Quando viene utilizzato? | Dove si possono trovare ulteriori informazioni? | 
| --- | --- | --- | 
|  Accesso single sign-on per le persone, come gli utenti della forza lavoro, alle risorse AWS tramite il Centro identità IAM  |  IAM Identity Center offre un luogo centrale che riunisce l'amministrazione degli utenti e il loro accesso alle Account AWS applicazioni cloud. È possibile configurare un archivio di identità all'interno del Centro identità IAM oppure configurare la federazione con un gestore dell'identità digitale (IdP) esistente. Le migliori pratiche di sicurezza consigliano di concedere agli utenti umani credenziali limitate alle AWS risorse.  Le persone hanno un'esperienza di accesso più semplice e tu mantieni il controllo sul loro accesso alle risorse da un unico sistema. Il Centro identità IAM supporta l'autenticazione a più fattori (MFA) per una maggiore sicurezza degli account.  |  Per ulteriori informazioni sulla configurazione del Centro identità IAM, consulta [Nozioni di base](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) nella *Guida per l'utente di AWS IAM Identity Center *. Per ulteriori informazioni sull'uso di MFA nel Centro identità IAM, consulta [Autenticazione a più fattori (MFA)](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-mfa.html) nella *Guida per l'utente di AWS IAM Identity Center *.  | 
| Accesso federato per gli utenti umani, come gli utenti della forza lavoro, ai AWS servizi che utilizzano provider di identità IAM () IdPs | Supporti IdPs IAM compatibili con OpenID Connect (OIDC) o SAML 2.0 (Security Assertion Markup Language 2.0). Una volta creato un provider di identità IAM, sarà necessario creare uno o più ruoli IAM che possano essere assegnati dinamicamente a un principale federato. | Per ulteriori informazioni sulla federazione e sui gestori di identità IAM, consulta [Provider di identità e federazione in AWS](id_roles_providers.md). | 
|  Accesso tra più account tra Account AWS  |  Vuoi condividere l'accesso a determinate AWS risorse con gli utenti di altre Account AWS. I ruoli sono lo strumento principale per concedere l’accesso multi-account. Tuttavia, alcuni dei servizi AWS ti consentono di collegare una policy direttamente a una risorsa (invece di utilizzare un ruolo come proxy).   | Per ulteriori informazioni sui ruoli IAM, consulta [Ruoli IAM](id_roles.md). Per ulteriori informazioni sui ruoli collegati al servizio, consulta [Creare un ruolo collegato ai servizi](id_roles_create-service-linked-role.md). Per ulteriori informazioni sui servizi che supportano l'utilizzo di ruoli collegati ai servizi, consulta [AWS servizi che funzionano con IAM](reference_aws-services-that-work-with-iam.md). Cerca i servizi che hanno **Sì** nella colonna **Ruolo collegato ai servizi**. Per visualizzare la documentazione relativa al ruolo collegato ai servizi per quel servizio, seleziona il link associato a **Yes** (Sì) nella colonna.  | 
|  Credenziali a lungo termine per gli utenti IAM designati nel tuo Account AWS  |  Potresti avere casi d'uso specifici che richiedono credenziali a lungo termine con utenti IAM in. AWS Puoi utilizzare IAM per creare questi utenti IAM nel tuo Account AWS e utilizzare IAM per gestirne le autorizzazioni. Alcuni dei casi d'uso sono i seguenti: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/introduction_identity-management.html) Come [best practice](best-practices.md), negli scenari in cui sono necessari utenti IAM con [accesso a livello di programmazione e credenziali a lungo termine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html), si consiglia di aggiornare le chiavi di accesso all'occorrenza. Per ulteriori informazioni, consulta [Aggiornare le chiavi di accesso](id-credentials-access-keys-update.md).  | Per informazioni sulla configurazione di un utente IAM, consulta [Crea un utente IAM nel tuo Account AWS](id_users_create.md). Per ulteriori informazioni sulle chiavi di accesso per gli utenti IAM, consulta [Gestione delle chiavi di accesso per gli utenti IAM](id_credentials_access-keys.md). Per ulteriori informazioni sulle credenziali specifiche del servizio per AWS CodeCommit Amazon Keyspaces, consulta e. [Credenziali IAM per CodeCommit: credenziali Git, chiavi SSH e chiavi di accesso AWS](id_credentials_ssh-keys.md) [Utilizzare IAM con Amazon Keyspaces (per Apache Cassandra)](id_credentials_keyspaces.md)   | 

## Supportare l'accesso programmatico degli utenti
<a name="gs-get-keys"></a>

Gli utenti necessitano di un accesso programmatico se desiderano interagire con l'esterno di. AWS Console di gestione AWS Il modo per concedere l'accesso programmatico dipende dal tipo di utente che accede a: AWS
+ Se gestisci le identità in IAM Identity Center, è AWS APIs necessario un profilo e AWS Command Line Interface richiede un profilo o una variabile di ambiente.
+ Se hai utenti IAM, i AWS APIs e AWS Command Line Interface richiedono chiavi di accesso. Quando possibile, creare credenziali temporanee formate da un ID della chiave di accesso, una chiave di accesso segreta e un token di sicurezza che ne indica la scadenza.

Per fornire agli utenti l’accesso programmatico, scegli una delle seguenti opzioni.


| Quale utente necessita dell’accesso programmatico? | Opzione | Ulteriori informazioni | 
| --- | --- | --- | 
|  Identità della forza lavoro  (Persone e utenti gestiti nel Centro identità IAM)  | Utilizza credenziali a breve termine per firmare le richieste programmatiche alla AWS CLI sala AWS APIs operatoria (direttamente o utilizzando la AWS SDKs). |  Per farlo AWS CLI, segui le istruzioni in [Ottenere le credenziali del ruolo IAM per l'accesso alla CLI](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtogetcredentials.html) nella Guida per *AWS IAM Identity Center l'*utente. Per farlo AWS APIs, segui le istruzioni contenute nelle [credenziali SSO](https://docs.aws.amazon.com//sdkref/latest/guide/feature-sso-credentials.html) nella Guida di riferimento agli strumenti *AWS SDKs e* agli strumenti.  | 
| Utenti IAM | Utilizza credenziali a breve termine per firmare le richieste programmatiche alla sala AWS CLI operatoria AWS APIs (direttamente o utilizzando la). AWS SDKs | Segui le istruzioni riportate in [Utilizzo delle credenziali temporanee con](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_credentials_temp_use-resources.html) le risorse. AWS  | 
| Utenti IAM | Utilizza credenziali a lungo termine per firmare le richieste programmatiche in AWS CLI sala AWS APIs operatoria (direttamente o utilizzando). AWS SDKs(Non consigliato) | Segui le istruzioni in [Gestione delle chiavi di accesso per gli utenti IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_credentials_access-keys.html). | 
| Principali federati |  AWS Utilizzate un'operazione API STS per creare una nuova sessione con credenziali di sicurezza temporanee che includono una coppia di chiavi di accesso e un token di sessione. | Per spiegazioni delle operazioni dell'API, consulta [Richiedere credenziali di sicurezza temporanee](id_credentials_temp_request.md) | 

# Come le autorizzazioni e le policy forniscono la gestione degli accessi
<a name="introduction_access-management"></a>

La parte di gestione degli accessi di AWS Identity and Access Management (IAM) ti aiuta a definire cosa può fare un'entità principale in un account. Un'entità principale è una persona o un'applicazione autenticata tramite un'entità IAM (utente o ruolo IAM). La gestione degli accessi viene spesso definita come *autorizzazione*. Puoi gestire l'accesso AWS creando policy e collegandole a identità o risorse IAM (utenti IAM, gruppi IAM o ruoli IAM). AWS Una policy è un oggetto AWS che, se associato a un'identità o a una risorsa, ne definisce le autorizzazioni. AWS valuta queste politiche quando un principale utilizza un'entità IAM (utente IAM o ruolo IAM) per effettuare una richiesta. Le autorizzazioni nelle policy determinano l’approvazione o il rifiuto della richiesta. La maggior parte delle policy viene archiviata AWS come documenti JSON. Per ulteriori informazioni sui tipi di policy e i relativi utilizzi, consulta [Politiche e autorizzazioni in AWS Identity and Access Management](access_policies.md).

## Policy e account
<a name="intro-access-accounts"></a>

Se gestisci un singolo account in AWS, definisci le autorizzazioni all'interno di quell'account utilizzando le politiche. Se gestisci le autorizzazioni su più account, è più difficile gestire le autorizzazioni per i tuoi utenti IAM. Puoi utilizzare i ruoli IAM, le politiche basate sulle risorse o le liste di controllo degli accessi (ACLs) per le autorizzazioni tra account. Tuttavia, se possiedi più account, ti consigliamo invece di utilizzare il AWS Organizations servizio per aiutarti a gestire tali autorizzazioni. Per ulteriori informazioni, consulta [Cos'è AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) nella *Guida AWS Organizations per l'utente*.

## Policy e utenti
<a name="intro-access-users"></a>

Gli utenti IAM sono identità nell' Account AWS. Quando si crea un utente IAM, l'utente non potrà accedere ad alcun elemento nell'account finché non gli viene concessa l'autorizzazione. È possibile fornire autorizzazioni a un utente IAM creando una policy basata su identità, che è una policy collegata all'utente IAM o a un gruppo IAM a cui appartiene l'utente IAM. L'esempio seguente mostra una policy JSON che consente all'utente IAM di eseguire tutte le azioni di Amazon DynamoDB (`dynamodb:*`) sulla tabella `Books` nell'account `123456789012` all'interno della regione `us-east-2`.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": "dynamodb:*",
    "Resource": "arn:aws:dynamodb:us-east-2:123456789012:table/Books"
  }
}
```

------

 Dopo il collegamento di questa policy all'utente IAM, l'utente disporrà dell'autorizzazione per eseguire tutte le operazioni nella tabella `Books` dell'istanza DynamoDB. La maggior parte degli utenti IAM dispone di più policy che si combinano per rappresentare il totale delle autorizzazioni concesse.

Le operazioni o le risorse che non sono esplicitamente consentite da una policy vengono rifiutate per impostazione predefinite. Ad esempio, se la policy precedente è la policy singola collegata a un utente, quell'utente può eseguire operazioni DynamoDB nella tabella `Books`, ma non può eseguire operazioni in altre tabelle. Allo stesso modo, all'utente non è consentito eseguire alcuna azione in Amazon EC2, Amazon S3 o in qualsiasi AWS altro servizio perché le autorizzazioni per lavorare con tali servizi non sono incluse nella politica. 

## Policy e gruppi IAM
<a name="intro-access-groups"></a>

Puoi organizzare gli utenti IAM in *gruppi IAM* e collegare una policy a un gruppo IAM. In quel caso, i singoli utenti IAM hanno ancora le proprie credenziali, ma tutti gli utenti IAM in un gruppo IAM dispongono delle autorizzazioni collegate al gruppo IAM. Utilizza i gruppi IAM per facilitare la gestione delle autorizzazioni. 

![\[Questo diagramma mostra. come gli utenti IAM possono essere organizzati in gruppi IAM per facilitare la gestione delle autorizzazioni, poiché ognuno degli utenti IAM ha le autorizzazioni assegnate a un gruppo IAM.\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/iam-intro-users-and-groups.diagram.png)


Gli utenti o i gruppi IAM possono avere più policy a loro collegate, le quali concedono diverse autorizzazioni. In questo caso, la combinazione di policy determina le autorizzazioni effettive del principale. Se il principale non dispone dell'autorizzazione `Allow` esplicita sia per un'azione che per una risorsa, il principale non dispone di tali autorizzazioni. 

## Sessioni e ruoli dell’utente federato
<a name="intro-access-roles"></a>

I presidi federati non hanno identità permanenti come Account AWS gli utenti IAM. Per assegnare le autorizzazioni ai principali federati, puoi creare un’entità definita come *ruolo* e stabilire le autorizzazioni per il ruolo. Quando un principale federato SAMl o OIDC accede a AWS, l'utente viene associato al ruolo e gli vengono concesse le autorizzazioni definite nel ruolo. Per ulteriori informazioni, consulta [Creazione di un ruolo per un provider di identità di terze parti](id_roles_create_for-idp.md).

## Policy basate su identità e policy basate su risorse.
<a name="intro-access-resource-based-policies"></a>

Le policy basate su identità sono policy di autorizzazione che si collegano a un'identità IAM, come un utente, un gruppo o un ruolo IAM. Le policy basate su risorse sono policy di autorizzazione che si collegano a una risorsa, come un bucket Amazon S3 o una policy di attendibilità del ruolo IAM.

Le ***policy basate su identità*** controllano quali operazioni l'identità può eseguire, su quali risorse e in quali condizioni. Le policy basate su identità possono essere ulteriormente suddivise:
+ **Politiche gestite: politiche** autonome basate sull'identità che puoi associare a più utenti, gruppi e ruoli nel tuo. Account AWS Puoi utilizzare due tipi di policy gestite: 
  + **AWS politiche gestite: politiche** gestite create e gestite da. AWS Se non conosci l'utilizzo delle politiche, ti consigliamo di iniziare utilizzando le politiche AWS gestite.
  + **Policy gestite dal cliente**: le policy gestite che sono create e gestite nel tuo Account AWS. Le policy gestite dai clienti offrono un controllo più preciso sulle policy rispetto alle policy AWS gestite. Puoi creare, modificare e convalidare una policy IAM nell'editor visivo oppure creando direttamente il documento di policy JSON. Per ulteriori informazioni, consultare [Definire le autorizzazioni IAM personalizzate con policy gestite dal cliente](access_policies_create.md) e [Modificare le policy IAM](access_policies_manage-edit.md).
+ **Policy in linea**: le policy che sono create, gestite e direttamente incorporate in un singolo utente, gruppo o ruolo. Nella maggior parte dei casi, non è consigliato l'uso di policy inline.

Le ***policy basate su risorse*** controllano quali operazioni uno specifico principale può eseguire, su quale risorsa e in quali condizioni. Le policy basate risorse sono policy inline. Non esistono policy gestite basate su risorse. Per consentire l'accesso multi-account, puoi specificare un intero account o entità IAM in un altro account come principale in una policy basata sulle risorse.****

Il servizio IAM supporta solo un tipo di policy basata su risorse detta *policy di attendibilità* del ruolo, collegata a un ruolo IAM. Poiché un ruolo IAM è sia un'identità che una risorsa che supporta policy basate su risorse, a un ruolo IAM è necessario collegare sia una policy di attendibilità che una policy basata su identità. Le politiche di fiducia definiscono quali entità principali (account, utenti, ruoli e responsabili degli utenti AWS STS federati) possono assumere il ruolo. Per capire in che modo i ruoli IAM si differenziano da altre policy basate su risorse, consulta [Accesso alle risorse multi-account in IAM](access_policies-cross-account-resource-access.md).

Per scoprire quali servizi supportano le policy basate su risorse, consulta la pagina [AWS servizi che funzionano con IAM](reference_aws-services-that-work-with-iam.md). Per ulteriori informazioni sulle policy basate su risorse, consulta la pagina [Policy basate sulle identità e policy basate su risorse](access_policies_identity-vs-resource.md).

# Definire le autorizzazioni basate su attributi con l'autorizzazione ABAC
<a name="introduction_attribute-based-access-control"></a>

Il controllo degli accessi basato sugli attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi. AWS *chiama questi attributi tag.* Puoi allegare tag alle risorse IAM, incluse le entità IAM (utenti IAM o ruoli IAM) e alle AWS risorse. È possibile creare una singola policy ABAC o un piccolo insieme di policy per i principali IAM. Queste policy ABAC possono essere definite affinché autorizzino le operazioni quando il tag dell'entità corrisponde al tag della risorsa. Il sistema di attributi di ABAC che fornisce sia un contesto utente elevato che un controllo degli accessi granulare. Poiché ABAC è basato sugli attributi, può eseguire autorizzazioni dinamiche per dati o applicazioni che concedono o revocano l'accesso in tempo reale. La strategia ABAC è utile in ambienti soggetti a una rapida scalabilità e in situazioni in cui la gestione delle policy di identità o delle risorse è diventata complessa.

Ad esempio, è possibile creare tre ruoli IAM con la chiave di tag `access-project`. Impostare il valore del tag del primo ruolo IAM su `Heart`, del secondo su `Star` e del terzo su `Lightning`. Puoi quindi utilizzare un'unica policy che consenta l'accesso quando il ruolo IAM e la AWS risorsa hanno il valore del tag`access-project`. Per un tutorial dettagliato che illustra come utilizzare ABAC in AWS, consulta [Tutorial IAM: definisci le autorizzazioni per accedere alle AWS risorse in base ai tag](tutorial_attribute-based-access-control.md). Per ulteriori informazioni sui servizi a supporto di ABAC, consulta [AWS servizi che funzionano con IAM](reference_aws-services-that-work-with-iam.md).

![\[Questo diagramma illustra che i tag applicati a un principale devono corrispondere ai tag applicati a una risorsa affinché all'utente vengano concesse le autorizzazioni per l'uso della risorsa. I tag devono essere applicati a gruppi IAM, gruppi di risorse, singoli utenti e singole risorse.\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/tutorial-abac-concept-23.png)


## Confronto di ABAC con il modello RBAC tradizionale
<a name="introduction_attribute-based-access-control_compare-rbac"></a>

Il modello di autorizzazione tradizionale utilizzato in IAM è chiamato controllo degli accessi basato su ruoli (RBAC). RBAC definisce le autorizzazioni in base alle mansioni lavorative o al *ruolo* di una persona, che è diverso da un ruolo IAM. IAM include [policy gestite per le funzioni processo](access_policies_job-functions.md) che allineano le autorizzazioni a una funzione di processo in un modello RBAC.

In IAM, è possibile implementare RBAC creando diverse policy per diverse mansioni lavorative. Quindi è possibile collegare le policy alle identità (utenti, gruppi o ruoli IAM). Come [best practice](best-practices.md) si suggerisce di concedere le autorizzazioni minime necessarie per la mansione lavorativa. Ciò si traduce in un accesso con [privilegi minimi](best-practices.md#grant-least-privilege). Ogni policy relativa alla funzione lavorativa elenca le risorse specifiche a cui possono accedere le identità assegnate a tale policy. Lo svantaggio di utilizzare il modello RBAC tradizionale è che, nel momento in cui gli utenti aggiungono nuove risorse, per consentire l'accesso a esse è necessario aggiornare le policy. 

Ad esempio, si supponga di disporre di tre progetti denominati `Heart`, `Star` e `Lightning`, su cui lavorano i dipendenti. Si crea un ruolo IAM per ogni progetto. È quindi possibile collegare le policy a ciascun ruolo IAM per definire le risorse a cui può accedere chiunque sia autorizzato ad assumere il ruolo IAM. Se un dipendente cambia mansione all'interno dell'azienda, è necessario assegnargli un ruolo IAM differente. Le persone o i programmi possono essere assegnati a più di un ruolo IAM. Tuttavia, il progetto `Star` potrebbe richiedere risorse aggiuntive, ad esempio un nuovo container Amazon EC2. In tal caso, è necessario aggiornare la policy collegata al ruolo `Star` IAM per specificare la nuova risorsa del container. In caso contrario, i membri del progetto `Star` non potranno accedere al nuovo container.

![\[Questo diagramma illustra che il controllo degli accessi basato sui ruoli richiede che a ciascuna identità venga assegnata una policy specifica basata sulla funzione lavorativa per accedere a risorse diverse.\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/tutorial-abac-rbac-concept-23.png)


**Il modello ABAC offre i seguenti vantaggi rispetto al modello RBAC tradizionale:**
+ **Le autorizzazioni ABAC si ridimensionano con l'innovazione.** Non è più necessario che un amministratore aggiorni le policy esistenti per consentire l'accesso a nuove risorse. Ad esempio, si supponga di aver progettato la strategia ABAC con il tag `access-project`. Uno sviluppatore utilizza il ruolo IAM con il tag `access-project` = `Heart`. Quando le persone del progetto `Heart` hanno bisogno di risorse Amazon EC2 aggiuntive, lo sviluppatore può creare nuove istanze Amazon EC2 con il tag `access-project` = `Heart`. In questo modo chiunque partecipi al progetto `Heart` può avviare e arrestare tali istanze perché i rispettivi valori di tag corrispondono.
+ **ABAC richiede meno policy.** Poiché non è necessario creare policy diverse per diverse mansioni lavorative, è necessario creare meno policy. Tali policy sono più facili da gestire.
+ **Utilizzando ABAC, i team possono rispondere in modo dinamico ai cambiamenti e alla crescita.** Poiché le autorizzazioni per le nuove risorse vengono concesse automaticamente in base agli attributi, non è necessario assegnare manualmente le policy alle identità. Ad esempio, se la propria azienda supporta già i progetti `Heart` e `Star` utilizzando ABAC, è facile aggiungere un nuovo progetto `Lightning`. Un amministratore IAM crea un nuovo ruolo con il tag `access-project` = `Lightning`. Non è necessario modificare la policy per supportare un nuovo progetto. Chiunque disponga delle autorizzazioni per assumere il ruolo IAM può creare e visualizzare istanze a cui è stato assegnato il tag `access-project` = `Lightning`. Un altro scenario si verifica quando un membro del team passa dal progetto `Heart` al progetto `Lightning`. Per fornire ai membri del team l'accesso al progetto `Lightning`, l'amministratore IAM li assegna a un ruolo IAM diverso. Non è necessario modificare le policy di autorizzazione.
+ **Utilizzando la strategia ABAC e possibile definire autorizzazioni con un maggior livello di granularità.** Quando si creano le policy, è consigliabile [concedere i privilegi minimi](best-practices.md#grant-least-privilege). Utilizzando l'approccio RBAC tradizionale, è necessario scrivere una policy che consenta l'accesso a specifiche risorse. Tuttavia, quando si utilizza ABAC, è possibile consentire operazioni su tutte le risorse, ma solo se il tag della risorsa corrisponde al tag del principale.
+ **Con ABAC è possibile utilizzare gli attributi dei dipendenti memorizzati nella directory aziendale.** È possibile configurare il provider di identità SAML o OIDC per passare i tag di sessione a IAM. Quando i dipendenti si uniscono AWS, IAM applica i loro attributi al responsabile risultante. È quindi possibile utilizzare ABAC per consentire o negare le autorizzazioni sulla base di tali attributi.

Per un tutorial dettagliato che dimostra come utilizzare ABAC in AWS, vedi. [Tutorial IAM: definisci le autorizzazioni per accedere alle AWS risorse in base ai tag](tutorial_attribute-based-access-control.md)