Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Identificatori IAM
<a name="reference_identifiers"></a>

IAM utilizza vari identificatori per utenti, gruppi IAM, ruoli, policy e certificati del server. Questa sezione descrive gli identificatori e spiega quando vanno utilizzati.

**Topics**
+ [

## Nomi descrittivi e percorsi
](#identifiers-friendly-names)
+ [

## IAM ARNs
](#identifiers-arns)
+ [

## Identificatori univoci
](#identifiers-unique-ids)
+ [

## Approfondimento dei prefissi ID univoci
](#identifiers-prefixes)
+ [

## Ottenere l'identificatore univoco
](#identifiers-get-unique-id)

## Nomi descrittivi e percorsi
<a name="identifiers-friendly-names"></a>

Quando crei un utente, un ruolo, un gruppo di utenti o una policy o quando carichi un certificato server, gli attribuisci un nome descrittivo. Gli esempi includono Bob, TestApp 1 ManageCredentialsPermissions, Developers o ProdServerCert. 

Se utilizzi l'API IAM o AWS Command Line Interface (AWS CLI) per creare risorse IAM, puoi aggiungere un percorso opzionale. Puoi decidere di usare un solo percorso o nidificare percorsi multipli come una struttura a cartelle. Ad esempio, puoi utilizzare il percorso nidificato `/division_abc/subdivision_xyz/product_1234/engineering/` per farlo corrispondere alla struttura organizzativa della tua azienda. A quel punto, potresti ceare una policy per consentire a tutti gli utenti del percorso di accedere all'API di simulazione policy. Per visualizzare questa policy, consulta [IAM: accesso all'API simulatore di policy basata sul percorso degli utenti](reference_policies_examples_iam_policy-sim-path.md). Per informazioni su come specificare un nome descrittivo, vedere [la documentazione dell'API utente](https://docs.aws.amazon.com/IAM/latest/APIReference/API_User.html). Per ulteriori esempi di utilizzo dei percorsi, consulta [IAM ARNs](#identifiers-arns).

Quando utilizzi CloudFormation per creare risorse, puoi specificare un percorso per utenti, gruppi e ruoli IAM e politiche gestite dai clienti.

Se disponi di un utente e di un gruppo di utenti nello stesso percorso, IAM non inserisce automaticamente l'utente in tale gruppo di utenti. Ad esempio, potresti creare il gruppo Sviluppatori e specificare come percorso come `/division_abc/subdivision_xyz/product_1234/engineering/`. Se crei un utente denominato Bob e gli aggiungi lo stesso percorso, Bob non viene inserito automaticamente all'interno del gruppo di utenti Sviluppatori. IAM non impone alcun limite tra utenti o gruppi IAM in base ai loro percorsi. Utenti con percorsi differenti possono utilizzare le stesse risorse (supponendo che abbiano ricevuto le autorizzazioni per farlo). Il numero e la dimensione delle risorse IAM in un AWS account sono limitati. Per ulteriori informazioni, consulta [IAM e AWS STS quote](reference_iam-quotas.md).

## IAM ARNs
<a name="identifiers-arns"></a>

La maggior parte delle risorse dispone di nomi descrittivi: ad esempio, un utente denominato `Bob` o un gruppo di utenti denominato `Developers`. Tuttavia, il linguaggio delle policy di autorizzazione richiede di specificare la risorsa o le risorse che utilizzano il seguente formato *Amazon Resource Name (ARN)*. 

```
arn:partition:service:region:account:resource
```

Dove:
+ `partition` identifica la partizione in cui si trova la risorsa. Per le Regioni AWS standard, la partizione è `aws`. Se sono presenti risorse in altre partizioni, la partizione è `aws-partitionname`. Ad esempio, la partizione per le risorse nella regione Cina (Pechino) è `aws-cn`. Non è possibile [delegare l'accesso](access_policies-cross-account-resource-access.md#access_policies-cross-account-delegating-resource-based-policies) tra account in partizioni diverse.
+ `service`identifica il AWS prodotto. Le risorse IAM utilizzano sempre `iam`.
+ `region` identifica la regione della risorsa. Per le risorse IAM, è sempre lasciato vuoto.
+ `account`specifica l' Account AWS ID senza trattini.
+ `resource` identifica la risorsa specifica in base al nome.

È possibile specificare IAM e AWS STS ARNs utilizzare la seguente sintassi. La porzione di regione dell'ARN è vuota perché le risorse IAM sono globali. 

Sintassi:

```
arn:aws:iam::account:root  
arn:aws:iam::account:user/user-name-with-path
arn:aws:iam::account:group/group-name-with-path
arn:aws:iam::account:role/role-name-with-path
arn:aws:iam::account:policy/policy-name-with-path
arn:aws:iam::account:instance-profile/instance-profile-name-with-path
arn:aws:sts::account:federated-user/user-name
arn:aws:sts::account:assumed-role/role-name/role-session-name
arn:aws:sts::account:self
arn:aws:iam::account:mfa/virtual-device-name-with-path
arn:aws:iam::account:u2f/u2f-token-id
arn:aws:iam::account:server-certificate/certificate-name-with-path
arn:aws:iam::account:saml-provider/provider-name
arn:aws:iam::account:oidc-provider/provider-name
arn:aws:iam::aws:contextProvider/context-provider-name
```

Molti esempi riportati di seguito includono percorsi nella parte della risorsa dell'ARN. I percorsi non possono essere creati o modificati nella Console di gestione AWS. Per utilizzare i percorsi, è necessario utilizzare la risorsa utilizzando l' AWS API AWS CLI, o gli strumenti per Windows PowerShell.

Esempi:

```
arn:aws:iam::123456789012:root
arn:aws:iam::123456789012:user/John
arn:aws:iam::123456789012:user/division_abc/subdivision_xyz/Jane
arn:aws:iam::123456789012:group/Developers
arn:aws:iam::123456789012:group/division_abc/subdivision_xyz/product_A/Developers
arn:aws:iam::123456789012:role/S3Access
arn:aws:iam::123456789012:role/application_abc/component_xyz/RDSAccess
arn:aws:iam::123456789012:role/aws-service-role/access-analyzer.amazonaws.com/AWSServiceRoleForAccessAnalyzer
arn:aws:iam::123456789012:role/service-role/QuickSightAction
arn:aws:iam::123456789012:policy/UsersManageOwnCredentials
arn:aws:iam::123456789012:policy/division_abc/subdivision_xyz/UsersManageOwnCredentials
arn:aws:iam::123456789012:instance-profile/Webserver
arn:aws:sts::123456789012:federated-user/John
arn:aws:sts::123456789012:assumed-role/Accounting-Role/Jane
arn:aws:sts::123456789012:self
arn:aws:iam::123456789012:mfa/JaneMFA
arn:aws:iam::123456789012:u2f/user/John/default (U2F security key)
arn:aws:iam::123456789012:server-certificate/ProdServerCert
arn:aws:iam::123456789012:server-certificate/division_abc/subdivision_xyz/ProdServerCert
arn:aws:iam::123456789012:saml-provider/ADFSProvider
arn:aws:iam::123456789012:oidc-provider/GoogleProvider
arn:aws:iam::123456789012:oidc-provider/oidc.eks.us-west-2.amazonaws.com/id/a1b2c3d4567890abcdefEXAMPLE11111
arn:aws:iam::123456789012:oidc-provider/server.example.org
arn:aws:iam::aws:contextProvider/IdentityCenter
```

Gli esempi seguenti forniscono maggiori dettagli per aiutarti a comprendere il formato ARN per diversi tipi di IAM e AWS STS risorse.
+ Un utente IAM nell'account:
**Nota**  
Ogni nome utente IAM è univoco. Il nome utente non fa distinzione tra maiuscole e minuscole per l'utente, ad esempio durante il processo di accesso, ma la fa quando lo si utilizza in una politica o come parte di un ARN.

  ```
  arn:aws:iam::123456789012:user/John
  ```
+ Altro utente con un percorso che riflette un organigramma:

  ```
  arn:aws:iam::123456789012:user/division_abc/subdivision_xyz/Jane
  ```
+ Un gruppo di utenti IAM:

  ```
  arn:aws:iam::123456789012:group/Developers
  ```
+ Un gruppo di utenti IAM con un percorso:

  ```
  arn:aws:iam::123456789012:group/division_abc/subdivision_xyz/product_A/Developers
  ```
+ Ruolo IAM:

  ```
  arn:aws:iam::123456789012:role/S3Access
  ```
+ Un [ruolo collegato al servizio](id_roles.md#iam-term-service-linked-role):

  ```
  arn:aws:iam::123456789012:role/aws-service-role/access-analyzer.amazonaws.com/AWSServiceRoleForAccessAnalyzer
  ```
+ Un [ruolo di servizio](id_roles.md#iam-term-service-role):

  ```
  arn:aws:iam::123456789012:role/service-role/QuickSightAction
  ```
+ Policy gestita:

  ```
  arn:aws:iam::123456789012:policy/ManageCredentialsPermissions
  ```
+ Profilo dell'istanza che può essere associato a un'istanza Amazon EC2:

  ```
  arn:aws:iam::123456789012:instance-profile/Webserver
  ```
+ Un user principal AWS STS federato identificato in IAM come «Paulo»:

  ```
  arn:aws:sts::123456789012:federated-user/Paulo
  ```
+ Sessione attiva di qualcuno che ha assunto il "Ruolo-contabilità" con il nome di sessione di ruolo di sessione "Mary":

  ```
  arn:aws:sts::123456789012:assumed-role/Accounting-Role/Mary
  ```
+ Rappresenta la sessione del chiamante quando viene utilizzata come risorsa in una chiamata API, ad esempio l' AWS STS [SetContext](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecuritytokenservice.html)API, che opera sulla sessione di chiamata:

  ```
  arn:aws:sts::123456789012:self
  ```
+ Dispositivo di autenticazione a più fattori assegnato all'utente denominato Jorge:

  ```
  arn:aws:iam::123456789012:mfa/Jorge
  ```
+ Certificato del server:

  ```
  arn:aws:iam::123456789012:server-certificate/ProdServerCert
  ```
+ Certificato server con un percorso che riflette un organigramma:

  ```
  arn:aws:iam::123456789012:server-certificate/division_abc/subdivision_xyz/ProdServerCert
  ```
+ Provider di identità (SAML e OIDC):

  ```
  arn:aws:iam::123456789012:saml-provider/ADFSProvider
  arn:aws:iam::123456789012:oidc-provider/GoogleProvider
  arn:aws:iam::123456789012:oidc-provider/server.example.org
  ```
+ Provider di identità OIDC con un percorso che riflette l'URL di un provider di identità OIDC di Amazon EKS:

  ```
  arn:aws:iam::123456789012:oidc-provider/oidc.eks.us-west-2.amazonaws.com/id/a1b2c3d4567890abcdefEXAMPLE11111
  ```
+ Il provider di contesto ARN utilizzato con la propagazione dell'identità AWS IAM Identity Center affidabile, da cui è stata generata l'asserzione di contesto affidabile:

  ```
  arn:aws:iam::aws:contextProvider/IdentityCenter
  ```

Un altro importante ARN è l'ARN dell'utente root. Sebbene questa non sia una risorsa IAM, bisognerebbe essere a conoscenza del formato di questo ARN. Viene spesso utilizzato nell'[elemento `Principal`](reference_policies_elements_principal.md) di una policy basata su risorse.
+  Account AWS Visualizza quanto segue:

  ```
  arn:aws:iam::123456789012:root
  ```

L'esempio seguente mostra una policy che può essere assegnata a Richard per la gestione autonoma delle sue chiavi di accesso. La risorsa è l'utente IAM Richard.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ManageRichardAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:*AccessKey*",
                "iam:GetUser"
            ],
            "Resource": "arn:aws:iam::*:user/division_abc/subdivision_xyz/Richard"
        },
        {
            "Sid": "ListForConsole",
            "Effect": "Allow",
            "Action": "iam:ListUsers",
            "Resource": "*"
        }
    ]
}
```

------

**Nota**  
Quando si utilizza ARNs per identificare le risorse in una policy IAM, è possibile includere *variabili di policy*. Le variabili dei criteri possono includere segnaposti per le informazioni di runtime (ad esempio il nome dell'utente) come parte dell'ARN. Per ulteriori informazioni, consulta [Elementi delle policy IAM: variabili e tag](reference_policies_variables.md) 

### Utilizzo di caratteri jolly e percorsi in ARNs
<a name="reference_identifiers_arn-wildcards-paths"></a>

Puoi utilizzare i caratteri jolly nella *resource* parte dell'ARN per specificare più utenti o gruppi o politiche IAM. Ad esempio, per specificare tutti gli utenti che lavorano su un prodotto denominato product\$11234, puoi utilizzare:

```
arn:aws:iam::123456789012:user/division_abc/subdivision_xyz/product_1234/*
```

Se hai utenti i cui nomi iniziano con la stringa `app_`, puoi fare riferimento a tutti quelli con il seguente ARN.

```
arn:aws:iam::123456789012:user/division_abc/subdivision_xyz/product_1234/app_*
```

Per specificare tutti gli utenti, i gruppi IAM o le policy del tuo ARN Account AWS, usa un carattere jolly dopo `user/``group/`, o `policy/` parte dell'ARN, rispettivamente.

```
arn:aws:iam::123456789012:user/*
arn:aws:iam::123456789012:group/*
arn:aws:iam::123456789012:policy/*
```

Se si specifica il seguente ARN per un utente `arn:aws:iam::111122223333:user/*`, questo corrisponderà a entrambi gli esempi seguenti.

```
arn:aws:iam::111122223333:user/John
arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/JaneDoe
```

Ma, se specifichi il seguente ARN per un utente `arn:aws:iam::111122223333:user/division_abc*`, corrisponderà al secondo esempio, ma non al primo.

```
arn:aws:iam::111122223333:user/John
arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Jane
```

Non utilizzare caratteri jolly nella parte `user/`, `group/`o `policy/` dell'ARN. Ad esempio, IAM non consente quanto segue:

```
arn:aws:iam::123456789012:u*
```

**Nota**  
Quando si specifica un ARN incompleto (uno con meno di sei campi standard) in una policy basata sull'identità, AWS completa automaticamente l'ARN aggiungendo caratteri jolly (\$1) a tutti i campi mancanti. Ad esempio, specificare `arn:aws:sqs` è equivalente a `arn:aws:sqs:*:*:*`, il che concede l’accesso a tutte le risorse Amazon SQS in tutte le Regioni e gli account.

**Example Esempio di utilizzo dei percorsi e per un gruppo di utenti basato su un progetto ARNs**  
I percorsi non possono essere creati o modificati nella Console di gestione AWS. Per utilizzare i percorsi è necessario utilizzare la risorsa utilizzando l' AWS API AWS CLI, o gli strumenti per Windows PowerShell.  
In questo esempio, Jules nel gruppo di utenti Marketing\$1Admin crea un gruppo basato su progetto all'interno del percorso /marketing/. Jules assegna gli utenti provenienti da diverse parti dell'azienda al gruppo di utenti. Questo esempio illustra come il percorso di un utente non sia correlato ai gruppi di utenti in cui si trova l'utente.  
Il gruppo marketing sta per lanciare un nuovo prodotto, quindi Jules crea un nuovo gruppo nel percorso /marketing/, chiamandolo Widget\$1Launch. Jules assegna al gruppo la seguente policy, che fornisce l'accesso al gruppo di utenti a oggetti nella parte del `example_bucket` progettato appositamente per il lancio del prodotto.     
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::example_bucket/marketing/newproductlaunch/widget/*"
    },
    {
      "Effect": "Allow",
      "Action": "s3:ListBucket*",
      "Resource": "arn:aws:s3:::example_bucket",
      "Condition": {"StringLike": {"s3:prefix": "marketing/newproductlaunch/widget/*"}}
    }
  ]
}
```
Jules assegna quindi al gruppo di utenti gli utenti coinvolti nel lancio del prodotto. Fra questi ci sono Patricia ed Eli dal percorso /marketing/. Sono inclusi anche Chris e Chloe dal percorso /vendite/ e Aline e Jim dal percorso /legale/.

## Identificatori univoci
<a name="identifiers-unique-ids"></a>

Quando IAM crea un utente, un gruppo di utenti, un ruolo, una policy, un profilo dell'istanza o un certificato server, assegna a ciascuna risorsa un ID univoco. L'ID univoco ha il seguente aspetto:

`AIDAJQABLZS4A3QDU576Q`

Nella maggior parte dei casi, si utilizzano nomi descrittivi e [ARNs](#identifiers-arns)quando si lavora con risorse IAM. In questo modo non è necessario conoscere l'ID univoco per una risorsa specifica. Tuttavia, a volte l'ID univoco può risultare utile, se l'utilizzo di nomi descrittivi non risulta pratico. 

Un esempio riutilizza nomi descrittivi nel tuo Account AWS. All'interno dell'account, il nome descrittivo di un utente, di un gruppo di utenti, di un ruolo o di una policy deve essere univoco. Ad esempio, potresti creare un utente IAM denominato `John`. La tua azienda utilizza Amazon S3 e dispone di un bucket con cartelle per ogni dipendente. L'utente IAM `John` è un membro di un gruppo di utenti IAM denominato `User-S3-Access` con autorizzazioni che consentono agli utenti di accedere solo alle loro cartelle nel bucket. Per un esempio di come creare una policy basata sull'identità che consenta agli utenti IAM di accedere al loro oggetto del bucket in S3 utilizzando il nome descrittivo degli utenti, consulta [Amazon S3: consente agli utenti IAM di accedere alla propria directory home S3, in modo programmatico e nella console](reference_policies_examples_s3_home-directory-console.md).

Supponiamo che il dipendente denominato David lasci l'azienda e che il suo utente IAM denominato `John` venga eliminato. Successivamente, viene assunto un altro dipendente con lo stesso nome e viene creato un nuovo utente IAM, anch'esso denominato `John`. Aggiungi il nuovo utente IAM denominato `John` al gruppo di utenti IAM esistente `User-S3-Access`. Se la policy associata al gruppo di utente specifica il nome descrittivo dell'utente IAM `John`, la policy consente al nuovo John di accedere alle informazioni lasciate dal John precedente. 

Come regola generale, ti consigliamo di specificare la ARN per la risorsa nelle policy invece del suo ID univoco. Tuttavia, ogni utente IAM dispone di un ID univoco, anche se crei un nuovo utente IAM che riutilizza un nome descrittivo che avevi eliminato in precedenza. Nell'esempio, il vecchio utente IAM `John` e il nuovo utente IAM `John` hanno caratteristiche uniche IDs diverse. È possibile creare policy basate sulle risorse che concedono l'accesso in base all'ID univoco e non solo per nome utente. In questo modo si riduce la possibilità che si possa inavvertitamente concedere l'accesso alle informazioni che un dipendente non dovrebbe avere. 

L'esempio seguente mostra come specificare unique IDs nell'[`Principal`elemento](reference_policies_elements_principal.md) di una policy basata sulle risorse.

```
"Principal": {
  "AWS": [
    "arn:aws:iam::111122223333:role/role-name",
    "AIDACKCEVSQ6C2EXAMPLE",
    "AROADBQP57FF2AEXAMPLE"
  }
```

L'esempio seguente mostra come è possibile specificare un elemento univoco IDs nell'[`Condition`elemento di una politica utilizzando una chiave](reference_policies_elements_condition.md) di condizione globale. [`aws:userid`](reference_policies_condition-keys.md#condition-keys-userid)

```
"Condition": {
    "StringLike": {
      "aws:userId": [
        "AIDACKCEVSQ6C2EXAMPLE",
        "AROADBQP57FF2AEXAMPLE:role-session-name",
        "AROA1234567890EXAMPLE:*",
        "111122223333"
      ]
    }
  }
```

Un altro esempio in cui l'utente IDs può essere utile è se gestisci il tuo database (o altro archivio) di informazioni sugli utenti o sui ruoli IAM. L'ID univoco può fornire un identificatore univoco per ogni ruolo o utente IAM che viene creato. Questo è il caso di ruoli o utenti IAM che riutilizzano un nome, come nell'esempio precedente.

## Approfondimento dei prefissi ID univoci
<a name="identifiers-prefixes"></a>

IAM usa i seguenti prefissi per indicare il tipo di risorsa a cui si applica ciascun ID univoco. I prefissi possono variare in base a quando sono stati creati.


| Prefix | Tipo di risorsa | 
| --- | --- | 
| ABIA | [AWS STS token service bearer](id_credentials_bearer.md) | 
| ACCA | Credenziali specifiche per contesto | 
|  AGPA  | Gruppo di utenti | 
|  AIDA  |  Utente IAM   | 
| AIPA | Profilo dell'istanza Amazon EC2 | 
| AKIA | Chiave di accesso | 
| ANPA |  Policy gestita  | 
|  ANVA  |  Versione in una policy gestita  | 
| APKA | Chiavi pubbliche | 
| AROA | Ruolo | 
| ASCA | Certificato | 
|  ASIA  |  La [chiave di accesso temporanea (AWS STS) IDs](https://docs.aws.amazon.com/STS/latest/APIReference/API_Credentials.html) utilizza questo prefisso, ma è unica solo in combinazione con la chiave di accesso segreta e il token di sessione.  | 

## Ottenere l'identificatore univoco
<a name="identifiers-get-unique-id"></a>

L'ID univoco per una risorsa IAM non è disponibile nella console IAM. Per ottenere l'ID univoco, puoi utilizzare i seguenti AWS CLI comandi o chiamate API IAM.

AWS CLI:
+  [get-caller-identity](https://docs.aws.amazon.com/cli/latest/reference/sts/get-caller-identity.html) 
+  [get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html) 
+  [get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) 
+  [get-user](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html) 
+  [get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html) 
+  [get-instance-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/get-instance-profile.html) 
+  [get-server-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/get-server-certificate.html) 

API IAM:
+  [GetCallerIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetCallerIdentity.html) 
+  [GetGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroup.html) 
+  [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html) 
+  [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html) 
+  [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html) 
+  [GetInstanceProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetInstanceProfile.html) 
+  [GetServerCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServerCertificate.html)