Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Risoluzione dei problemi relativi a IAM
<a name="troubleshoot"></a>

Utilizza le informazioni qui riportate per eseguire la diagnosi e risolvere problemi comuni durante l'utilizzo di AWS Identity and Access Management (IAM).

**Topics**
+ [Non riesco ad accedere al mio account AWS](#troubleshoot_general_cant-sign-in)
+ [Chiavi di accesso smarrite](#troubleshoot_general_access-keys)
+ [Variabili della policy non funzionanti](#troubleshoot_general_policy-variables-dont-work)
+ [Le modifiche che apporto non sono sempre immediatamente visibili](#troubleshoot_general_eventual-consistency)
+ [Non sono autorizzato a eseguire: iam: DeleteVirtual MFADevice](#troubleshoot_general_access-denied-delete-mfa)
+ [Come posso creare utenti IAM in modo sicuro?](#troubleshoot_general_securely-create-iam-users)
+ [Risorse aggiuntive](#troubleshoot_general_resources)
+ [Risoluzione dei problemi relativi ai messaggi di errore di accesso rifiutato](troubleshoot_access-denied.md)
+ [Risoluzione dei problemi con l'utente root](troubleshooting_root-user.md)
+ [Risoluzione dei problemi relativi alle policy IAM](troubleshoot_policies.md)
+ [Risoluzione dei problemi relativi alle passkey e alle chiavi di sicurezza FIDO](troubleshoot_mfa-fido.md)
+ [Risoluzione dei problemi relativi ai ruoli IAM](troubleshoot_roles.md)
+ [Risoluzione dei problemi relativi a IAM e Amazon EC2](troubleshoot_iam-ec2.md)
+ [Risoluzione dei problemi relativi a IAM ed Amazon S3](troubleshoot_iam-s3.md)
+ [Risoluzione dei problemi di federazione SAML con IAM](troubleshoot_saml.md)

## Non riesco ad accedere al mio account AWS
<a name="troubleshoot_general_cant-sign-in"></a>

Verifica di disporre delle credenziali corrette e di utilizzare il metodo corretto per accedere. Per ulteriori informazioni, consulta [Risoluzione dei problemi di accesso](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html) nella *Guida per l'utente‏ di Accedi ad AWS *.

## Chiavi di accesso smarrite
<a name="troubleshoot_general_access-keys"></a>

Le chiavi di accesso sono costituite da due parti:
+ **Identificatore della chiave di accesso**: Questo non è un segreto e può essere visualizzato nella console IAM ovunque le chiavi di accesso siano elencate, ad esempio nella pagina di riepilogo dell'utente.
+ **Chiave di accesso segreta**: questa informazione viene fornita quando si crea inizialmente la coppia di chiavi di accesso. Proprio come una password, non ***può essere recuperata in seguito***. Se la chiave di accesso segreta viene persa, è necessario creare una nuova coppia di chiavi di accesso. Se si disponi già del [numero massimo di chiavi di accesso](reference_iam-quotas.md#reference_iam-quotas-entities), è necessario eliminare una coppia esistente prima di crearne un'altra.

Se perdi la chiave di accesso segreta, è necessario eliminarla e crearne una nuova. Per ulteriori istruzioni, consulta [Aggiornare le chiavi di accesso](id-credentials-access-keys-update.md).

## Variabili della policy non funzionanti
<a name="troubleshoot_general_policy-variables-dont-work"></a>

Se le variabili della policy non funzionano, si è verificato uno dei seguenti errori:

**La data è errata nell'elemento della policy Version.**  
Verificare che tutte le policy che includono variabili includano il seguente numero di versione nella policy: `"Version": "2012-10-17"`. Senza il numero di versione corretto, le variabili non vengono sostituite durante la valutazione. Al contrario, le variabili vengono valutate letteralmente. Le policy che non includono variabili continueranno a funzionare se si include il numero di versione più recente.  
Un elemento di policy `Version` è diverso da una versione di policy. L'elemento di policy `Version` viene utilizzato all'interno di una policy e definisce la versione del linguaggio di policy. Una versione della policy viene creata quando si modifica una policy gestita dal cliente in IAM. La policy modificata non viene sovrascritta a quella precedente. IAM crea invece una nuova versione della policy gestita. Per ulteriori informazioni sull'elemento di policy `Version`, consultare [Elementi delle policy JSON IAM: Version](reference_policies_elements_version.md). Per ulteriori informazioni sulle versioni di policy, consultare [Controllo delle versioni delle policy IAM](access_policies_managed-versioning.md).

**I caratteri variabili sono scritti con lettere maiuscole e minuscole errate.**  
Verificare che le variabili della policy applichino la distinzione maiuscole/minuscole corretta. Per informazioni dettagliate, vedi [Elementi delle policy IAM: variabili e tag](reference_policies_variables.md).

## Le modifiche che apporto non sono sempre immediatamente visibili
<a name="troubleshoot_general_eventual-consistency"></a>

Essendo un servizio a cui si accede da computer in data center presenti in tutto il mondo, IAM utilizza un modello di elaborazione distribuito denominato [consistenza finale](https://wikipedia.org/wiki/Eventual_consistency). Qualsiasi modifica apportata a IAM (o ad altri AWS servizi), compresi i tag di [controllo degli accessi basati sugli attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html), richiede tempo per diventare visibile da tutti gli endpoint possibili. Alcuni dei ritardi sono dovuti al tempo necessario per inviare i dati da un server a un altro, da una zona di replica a un'altra e da una regione a un'altra. IAM utilizza inoltre la memorizzazione nella cache per migliorare le prestazioni, è possibile che ciò aumenti ulteriormente il tempo richiesto, in quanto la modifica potrebbe risultare visibile solo dopo il timeout dei dati memorizzati nella cache.

È necessario progettare le applicazioni globali in modo da considerare questi potenziali ritardi e assicurarsi che funzionino come previsto, anche quando una modifica apportata in una posizione non è immediatamente visibile in un'altra. Tali modifiche includono la creazione o l'aggiornamento di utenti, gruppi, ruoli, o policy. Si consiglia di non includere tali modifiche IAM nei percorsi critici e ad alta disponibilità del codice dell'applicazione. Al contrario, apporta modifiche IAM in un'inizializzazione separata o in una routine di configurazione che si esegue meno frequentemente. Inoltre, assicurarsi di verificare che le modifiche siano state propagate prima che i flussi di lavoro di produzione dipendano da esse. 

Per ulteriori informazioni su come alcuni altri AWS servizi ne risentono, consulta le seguenti risorse:
+ **Amazon DynamoDB**: [Consistenza di lettura](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/HowItWorks.ReadConsistency.html) nella *Guida per gli sviluppatori di DynamoDB* e [Consistenza di lettura](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/HowItWorks.ReadConsistency.html) nella Guida per gli sviluppatori di Amazon DynamoDB.
+ **Amazon EC2**: [Consistenza finale di EC2](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/query-api-troubleshooting.html#eventual-consistency) nella *Documentazione di riferimento dell'API Amazon EC2*.
+ **Amazon EMR**: [Garantire la consistenza quando si utilizzano Amazon S3 e Amazon EMR per flussi di lavoro ETL](https://aws.amazon.com/blogs/big-data/ensuring-consistency-when-using-amazon-s3-and-amazon-elastic-mapreduce-for-etl-workflows/) nel blog dei big data AWS 
+ **Amazon Redshift**: [Gestione della consistenza dei dati ](https://docs.aws.amazon.com/redshift/latest/dg/managing-data-consistency.html) nella *Guida per gli sviluppatori di Amazon Redshift Database*
+ **Amazon S3**: [Modello di consistenza dei dati di Amazon S3](https://docs.aws.amazon.com//AmazonS3/latest/userguide/Welcome.html#ConsistencyModel) nella *Guida per l'utente di Amazon Simple Storage Service*

## Non sono autorizzato a eseguire: iam: DeleteVirtual MFADevice
<a name="troubleshoot_general_access-denied-delete-mfa"></a>

Quando si tenta di assegnare o rimuovere un dispositivo MFA virtuale per sé stessi o altri, è possibile che venga visualizzato il seguente errore:

```
User: arn:aws:iam::123456789012:user/Diego is not authorized to perform: iam:DeleteVirtualMFADevice on resource: arn:aws:iam::123456789012:mfa/Diego with an explicit deny
```

Ciò può accadere se qualcuno in precedenza ha iniziato ad assegnare un dispositivo MFA virtuale a un utente nella console IAM e poi ha annullato il processo. Questa operazione crea un dispositivo MFA virtuale per l'utente in IAM, ma non lo assegna mai all'utente. Eliminare il dispositivo MFA virtuale esistente prima di poter creare un nuovo dispositivo MFA virtuale con lo stesso nome del dispositivo.

Per risolvere questo problema, un amministratore **non** dovrebbe modificare le policy di autorizzazioni. L'amministratore deve invece utilizzare l' AWS API AWS CLI o per eliminare il dispositivo MFA virtuale esistente ma non assegnato.

**Per eliminare un dispositivo MFA virtuale esistente, ma non assegnato**

1. Visualizzare i dispositivi MFA virtuali nel proprio account.
   + AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/list-virtual-mfa-devices.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-virtual-mfa-devices.html)
   + AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html)

1. Nella risposta, individuare l'ARN del dispositivo MFA virtuale dell'utente per il quale si sta tentando di correggere l'anomalia.

1. Eliminare il dispositivo MFA virtuale.
   + AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-virtual-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-virtual-mfa-device.html)
   + AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteVirtualMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteVirtualMFADevice.html)

## Come posso creare utenti IAM in modo sicuro?
<a name="troubleshoot_general_securely-create-iam-users"></a>

Se hai dipendenti che richiedono l'accesso a AWS, puoi scegliere di creare utenti IAM o [utilizzare IAM Identity Center per l'autenticazione](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html). Se utilizzi IAM, ti AWS consiglia di creare un utente IAM e di comunicare in modo sicuro le credenziali al dipendente. Se non ci si trova fisicamente accanto al dipendente, si consiglia di utilizzare un flusso di lavoro sicuro per comunicare le credenziali ai dipendenti.

Utilizza il seguente flusso di lavoro sicuro per creare un nuovo utente in IAM:

1. [Crea un nuovo utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) utilizzando la Console di gestione AWS. Scegli di concedere Console di gestione AWS l'accesso con una password generata. Se necessario, seleziona la casella di controllo accanto a **L'utente deve creare una nuova password all'accesso successivo**. Non aggiungere una policy di autorizzazione all'utente fino a quando non ha cambiato la password.

1. Dopo avere aggiunto l'utente, copia l'URL di accesso, il nome utente e la password per il nuovo utente. Per visualizzare la password, scegli **Mostra**.

1. Invia la password al tuo dipendente utilizzando un metodo di comunicazione sicuro della tua azienda, ad esempio e-mail, chat o un sistema di ticket. Separatamente, fornisci agli utenti il collegamento alla console utente IAM e il relativo nome utente. Chiedi al dipendente di confermare che riesce ad accedere correttamente prima di concedergli le autorizzazioni.

1. Dopo che il dipendente ha confermato, aggiungi le autorizzazioni necessarie. Come buona prassi di sicurezza, aggiungi una policy che richiede all'utente di autenticarsi utilizzando la MFA per gestire le proprie credenziali. Per un esempio di policy, consulta [AWS: consente agli utenti IAM autenticati con MFA di gestire le proprie credenziali nella pagina Credenziali di sicurezza](reference_policies_examples_aws_my-sec-creds-self-manage.md).

## Risorse aggiuntive
<a name="troubleshoot_general_resources"></a>

Le seguenti risorse possono aiutarti a risolvere i problemi mentre lavori con. AWS
+ **[AWS CloudTrail Guida per l'utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)**: consente AWS CloudTrail di tenere traccia di una cronologia delle chiamate API effettuate AWS e archiviare tali informazioni nei file di registro. Ciò consente di determinare quali utenti e account hanno effettuato l'accesso alle risorse nell'account, quando sono state effettuate le chiamate, quali operazioni sono state richieste e altro ancora. Per ulteriori informazioni, consulta [Registrazione delle chiamate IAM e AWS STS API con AWS CloudTrail](cloudtrail-integration.md).
+ **[AWS Knowledge Center](https://aws.amazon.com/premiumsupport/knowledge-center/)**: trova FAQs e collega altre risorse per aiutarti a risolvere i problemi.
+ **[AWS Centro assistenza](https://console.aws.amazon.com/support/home#/)**: ottieni supporto tecnico.
+ **[AWS Premium Support Center](https://aws.amazon.com/premiumsupport/)**: ottieni supporto tecnico premium.

# Risoluzione dei problemi relativi ai messaggi di errore di accesso rifiutato
<a name="troubleshoot_access-denied"></a>

Le seguenti informazioni possono aiutarti a identificare, diagnosticare e risolvere gli errori di accesso negato con AWS Identity and Access Management. Gli errori di accesso negato vengono visualizzati quando si nega AWS in modo esplicito o implicito una richiesta di autorizzazione.
+ Una *negazione esplicita* si verifica quando una politica contiene una `Deny` dichiarazione per l'azione specifica. AWS 
+ Un *diniego implicito* si verifica quando non è presente un'istruzione `Deny` applicabile e non è presente neppure un'istruzione `Allow` applicabile. Dato che una policy IAM nega un principale IAM per impostazione predefinita, la policy deve consentire esplicitamente al principale di eseguire un'operazione. In caso contrario, la policy nega implicitamente l'accesso. Per ulteriori informazioni, consulta [Differenza tra rifiuto esplicito e implicito](reference_policies_evaluation-logic_AccessPolicyLanguage_Interplay.md).

Quando si effettua una richiesta a un servizio o a una risorsa, alla richiesta possono essere applicate più policy. Rivedi tutte le policy applicabili oltre a quella specificata nel messaggio di errore.
+ Se più policy dello stesso tipo negano una richiesta, il messaggio di errore di accesso negato non specifica il numero di policy valutate.
+ Se più tipi di policy negano una richiesta di autorizzazione, AWS include solo uno di questi tipi di policy nel messaggio di errore.

**Importante**  
**Hai problemi ad accedere a AWS?** Assicurati di essere nella [pagina di accesso AWS](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html) corretta per il tuo tipo di utente. Se sei il Utente root dell'account AWS (proprietario dell'account), puoi accedere AWS utilizzando le credenziali che hai configurato quando hai creato il Account AWS. Se sei un utente IAM, l'amministratore dell'account può fornirti le credenziali di accesso per AWS . Se hai bisogno di supporto, non utilizzare il link Feedback in questa pagina. Il modulo viene ricevuto dal team di AWS documentazione, non Supporto. Invece, nella pagina [Contattaci](https://aws.amazon.com/contact-us/) scegli **Ancora impossibile accedere al tuo AWS account**, quindi scegli una delle opzioni di supporto disponibili.

## Ricevo un messaggio di «accesso negato» quando faccio una richiesta a un AWS servizio
<a name="troubleshoot_general_access-denied-service"></a>
+ Verifica se il messaggio di errore include il tipo e [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns) della policy responsabile del rifiuto dell'accesso. In tal caso, verifica la presenza di dichiarazioni di rifiuto relative all'azione nella politica specificata. Se viene fornito il tipo di policy ma non esiste un ARN di policy, concentrati sulla risoluzione dei problemi relativi a quel tipo di policy: verifica la presenza di dichiarazioni di rifiuto per l'azione nelle policy del tipo specificato. Se il messaggio di errore non riporta il tipo di policy responsabile del rifiuto dell'accesso, utilizza le altre linee guida in questa sezione per risolvere i problemi.
+ Verificare di disporre dell'autorizzazione della policy basata su identità necessaria per chiamare l'operazione e le risorse richieste. Se sono impostate delle condizioni, è necessario soddisfare anche tali condizioni quando si invia la richiesta. Per informazioni sulla visualizzazione o la modifica delle policy IAM per un utente, gruppo o ruolo, consulta [Gestire le policy IAM](access_policies_manage.md).
+ Se Console di gestione AWS restituisce un messaggio che indica che non sei autorizzato a eseguire un'azione, devi contattare l'amministratore per ricevere assistenza. L'amministratore ti ha fornito le credenziali di accesso o il link di accesso.

  L'errore di esempio seguente si verifica quando l'utente IAM `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `widgets:GetWidget` fittizie.

  ```
  User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: widgets:GetWidget on resource: my-example-widget
  ```

  In questo caso, Mateo deve richiedere al suo amministratore di aggiornare le sue policy per poter accedere alla risorsa `my-example-widget` utilizzando l'operazione `widgets:GetWidget`.
+ Stai cercando di accedere a un servizio che supporta[policy basate sulle risorse](access_policies_identity-vs-resource.md), ad esempio Amazon S3, Amazon SNS o Amazon SQS? In tal caso, verificare che la policy specifichi l'utente come principale capitale e conceda l'accesso. Se si effettua una richiesta a un servizio all'interno dell'account, le policy basate su identità o le policy basate su risorse possono concedere l'autorizzazione. Se si effettua una richiesta a un servizio in un altro account, sia le policy basate su identità che le policy basate su risorse devono concedere l'autorizzazione. Per scoprire quali servizi supportano le policy basate su risorse, consultare la pagina [AWS servizi che funzionano con IAM](reference_aws-services-that-work-with-iam.md).
+ Se la policy include una condizione con una coppia chiave-valore, esaminala con attenzione. Gli esempi includono la chiave di condizione [`aws:RequestTag/tag-key`](reference_policies_condition-keys.md)globale AWS KMS [kms/latest/developerguide/policy-conditions.html#conditions-kms-encryption-context](kms/latest/developerguide/policy-conditions.html#conditions-kms-encryption-context), la e la chiave di `ResourceTag/tag-key` condizione supportata da più servizi. Verifica che il nome della chiave non corrisponda a più risultati. Poiché i nomi delle chiavi di distinzioni non fanno distinzione tra maiuscole e minuscole, una condizione che verifica la presenza di una chiave denominata `foo` corrisponde a `foo`, `Foo` o `FOO`. Se la richiesta include più coppie chiave-valore con nomi di chiavi che cambiano solo la dimensione dei caratteri, l'accesso potrebbe essere inaspettatamente negato. Per ulteriori informazioni, consulta [Elementi delle policy JSON IAM: Condition](reference_policies_elements_condition.md).
+ Se è presente un [limite delle autorizzazioni](access_policies_boundaries.md), è necessario verificare che la policy utilizzata per il limite delle autorizzazioni consenta la richiesta. Se le policy basate su identità consentono la richiesta, ma il limite delle autorizzazioni non la consente, la richiesta viene rifiutata. Il limite delle autorizzazioni controlla il numero massimo di autorizzazioni che è possibile concedere a un'identità principale IAM (utente o ruolo). Le policy basate su risorse non sono limitate dai limiti delle autorizzazioni. I limiti delle autorizzazioni non sono comuni. Per ulteriori informazioni su come AWS valuta le politiche, vedere[Logica di valutazione delle policy](reference_policies_evaluation-logic.md).
+ Se stai firmando le richieste manualmente (senza utilizzare il [AWS SDKs](https://aws.amazon.com/developer/tools/)), verifica di aver [firmato correttamente la richiesta](https://docs.aws.amazon.com/general/latest/gr/signing_aws_api_requests.html).
+ Se utilizzi una [policy per gli endpoint VPC Amazon](https://docs.aws.amazon.com//vpc/latest/privatelink/vpc-endpoints-access.html) e ricevi un errore di accesso negato quando non hai effettuato l’accesso a AWS CloudTrail, è possibile che l’account del proprietario dell’endpoint VPC sia diverso dall’account che ha effettuato la chiamata o dall’account del ruolo di destinazione.

## Messaggio di accesso rifiutato quando si effettua una richiesta con credenziali di sicurezza temporanee
<a name="troubleshoot_general_access-denied-temp-creds"></a>
+ Innanzitutto, occorre verificare che l'accesso non venga negato per un motivo non legato alle credenziali temporanee. Per ulteriori informazioni, consulta [Ricevo un messaggio di «accesso negato» quando faccio una richiesta a un AWS servizio](#troubleshoot_general_access-denied-service).
+ Verificare che il servizio accetti le credenziali di sicurezza temporanee, consultare [AWS servizi che funzionano con IAM](reference_aws-services-that-work-with-iam.md).
+ Verifica che le tue richieste vengano firmate correttamente e che il formato della richiesta sia valido. Per ulteriori informazioni, consulta la documentazione del [kit di strumenti](https://aws.amazon.com/developer/tools/) o [Usa credenziali temporanee con le risorse AWS](id_credentials_temp_use-resources.md).
+ Verifica che le credenziali di sicurezza provvisorie non siano scadute. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](id_credentials_temp.md). 
+ Verifica che l'utente o il ruolo IAM dispongano delle autorizzazioni corrette. Le autorizzazioni per le credenziali di sicurezza temporanee sono derivate da un utente o ruolo IAM. Di conseguenza, le autorizzazioni sono limitate a quelle che vengono concesse al ruolo di cui hai assunto le credenziali temporanee. Per Scopri come vengono determinate le autorizzazioni per le credenziali di sicurezza temporanee, consultare [Autorizzazioni per le credenziali di sicurezza temporanee](id_credentials_temp_control-access.md).
+ Se hai assunto un ruolo, la sessione del ruolo potrebbe essere limitata da policy di sessione. [Quando [richiedi credenziali di sicurezza temporanee](id_credentials_temp_request.md) a livello di codice AWS STS, puoi facoltativamente passare policy di sessione in linea o gestite.](access_policies.md#policies_session) Le policy di sessione sono policy avanzate che vengono passate come parametro durante la creazione di una sessione temporanea per un ruolo a livello di programmazione. Puoi passare un singolo documento della policy di sessione inline JSON utilizzando il parametro `Policy`. Puoi utilizzare il parametro `PolicyArns` per specificare fino a 10 policy di sessione gestite. Le autorizzazioni della sessione risultanti sono l'intersezione tra le policy basate sull'identità del ruolo e le policy di sessione. In alternativa, se l'amministratore o un programma personalizzato fornisce le credenziali temporanee, potrebbero includere policy di sessione per limitare l'accesso.
+ Se sei un utente principale AWS STS federato, la tua sessione potrebbe essere limitata dai criteri di sessione. Puoi creare una sessione utente federata accedendo AWS come utente IAM e quindi richiedendo un token di federazione. Per ulteriori informazioni, consulta [Richiesta di credenziali tramite un gestore di identità personalizzato](id_credentials_temp_request.md#api_getfederationtoken). Se l'utente o un gestore identità ha passato policy di sessione durante la richiesta di un token di federazione, la sessione è limitata da quelle policy. Le autorizzazioni della sessione risultante sono l'intersezione delle policy basate sull'identità dell'utente IAM e delle policy di sessione. Per ulteriori informazioni sulle policy di sessione, consulta [Policy di sessione](access_policies.md#policies_session).
+ Se si accede a una risorsa che dispone di una policy basata sulle risorse tramite un ruolo, verificare che la policy conceda le autorizzazioni per il ruolo. Ad esempio, la policy seguente permette `MyRole` dell'account `111122223333` per l'accesso a `amzn-s3-demo-bucket`.

------
#### [ JSON ]

****  

  ```
  {
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
      "Sid": "S3BucketPolicy",
      "Effect": "Allow",
      "Principal": {"AWS": ["arn:aws:iam::111122223333:role/MyRole"]},
      "Action": ["s3:PutObject"],
      "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/*"]
    }]
  }
  ```

------

## Esempi di messaggi di errore di accesso negato
<a name="access-denied-error-examples"></a>

Per la maggior parte, i messaggi di errore di accesso negato sono visualizzati nel formato `User user is not authorized to perform action on resource because context`. In questo esempio, *user* è l'ARN del principale a cui è negato l'accesso, *action* è l'azione di servizio negata dalla policy ed è *resource* l'ARN della risorsa su cui agisce la policy. Il *context* campo fornisce un contesto aggiuntivo sul tipo di policy che ha negato l'accesso. In alcuni casi, contiene anche l'ARN della politica che ha negato l'accesso.

Quando una politica nega esplicitamente l'accesso perché contiene una `Deny` dichiarazione, AWS include la frase `with an explicit deny in a type policy` nel messaggio di errore di accesso negato. Questa frase può anche specificare l'ARN della politica, come segue:. `with an explicit deny in a type policy: policy ARN`

Quando la politica nega implicitamente l'accesso, AWS include la frase `because no type policy allows the action action` nel messaggio di errore di accesso negato.

**Nota**  
Alcuni AWS servizi non supportano questo formato di messaggio di errore di accesso negato. Il contenuto dei messaggi di errore di accesso negato può variare a seconda del servizio che effettua la richiesta di autorizzazione.

Gli esempi seguenti mostrano il formato di vari tipi di messaggi di errore di accesso negato.

### Accesso negato a causa di una policy di controllo dei servizi: diniego implicito
<a name="access-denied-scp-examples-implicit"></a>

1. Verifica la presenza di un'`Allow`istruzione mancante relativa all'azione nelle tue politiche di controllo del servizio (SCPs). Per l'esempio seguente, l'operazione è `codecommit:ListRepositories`.

1. Aggiorna la tua SCP aggiungendo l'istruzione `Allow`. Per ulteriori informazioni, consulta [Aggiornamento di una SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html#update_policy) nella *Guida per l'utente di AWS Organizations *.

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codecommit:ListRepositories
because no service control policy allows the codecommit:ListRepositories action
```

### Accesso negato a causa di una policy di controllo dei servizi: diniego esplicito
<a name="access-denied-scp-examples-explicit"></a>

1. Se nel messaggio di errore viene fornito un ARN di policy, verificate la presenza di un'`Deny`istruzione per l'azione nella policy di controllo del servizio (SCP) specificata. Nell'esempio seguente, l'azione è. `codecommit:ListRepositories`

1. Se nel messaggio di errore non viene fornito alcun ARN della policy, verifica la presenza di un'`Deny`istruzione per l'azione nel tuo. SCPs

1. Aggiorna la tua SCP rimuovendo l'istruzione `Deny`. Per ulteriori informazioni, consulta [Aggiornare una policy di controllo dei servizi (SCP) nella Guida](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_update.html#update_policy) per l'*AWS Organizations utente*.

Messaggio di errore con un ARN di policy:

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codecommit:ListRepositories
with an explicit deny in a service control policy: arn:aws:organizations::777788889999:policy/o-exampleorgid/service_control_policy/p-examplepolicyid123
```

Messaggio di errore senza un ARN di policy:

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codecommit:ListRepositories
with an explicit deny in a service control policy
```

### Accesso negato a causa di una policy di controllo delle risorse - rifiuto esplicito
<a name="access-denied-rcp-examples-explicit"></a>

1. Se nel messaggio di errore viene fornito un ARN di policy, verifica la presenza di un'`Deny`istruzione per l'azione nella policy di controllo delle risorse (RCP) specificata. Nell'esempio seguente, l'azione è. `secretsmanager:GetSecretValue`

1. Se nel messaggio di errore non viene fornito alcun ARN della policy, verifica la presenza di un'`Deny`istruzione per l'azione nel tuo. RCPs

1. Aggiorna la tua RCP rimuovendo l'istruzione `Deny`. Per ulteriori informazioni, consulta [Aggiornare una politica di controllo delle risorse (RCP) nella Guida](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_update.html#update_policy-rcp) per l'*AWS Organizations utente*.

Messaggio di errore con un ARN di policy:

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: secretsmanager:GetSecretValue
on resource: arn:aws:secretsmanager:us-east-1:123456789012:secret:*
with an explicit deny in a resource control policy: arn:aws:organizations::777788889999:policy/o-exampleorgid/resource_control_policy/p-examplepolicyid456
```

Messaggio di errore senza un ARN di policy:

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: secretsmanager:GetSecretValue
on resource: arn:aws:secretsmanager:us-east-1:123456789012:secret:*
with an explicit deny in a resource control policy
```

### Accesso negato a causa di una policy dell'endpoint VPC: diniego implicito
<a name="access-denied-vpc-endpoint-examples-implicit.title"></a>

1. Verifica l'assenza di un'istruzione `Allow` per l'azione nelle tue policy dell'endpoint del cloud privato virtuale (VPC). Per l’esempio seguente, l'operazione è `codecommit:ListRepositories`.

1. Aggiorna la tua policy sugli endpoint VPC aggiungendo l'iistruzione `Allow`. Per ulteriori informazioni, consulta [Aggiornamento di una policy dell'endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#update-vpc-endpoint-policy) nella *AWS PrivateLink Guida*.

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codecommit:ListRepositories
because no VPC endpoint policy allows the codecommit:ListRepositories action
```

### Accesso negato a causa di una policy dell'endpoint VPC: diniego esplicito
<a name="access-denied-vpc-endpoint-examples-explicit.title"></a>

1. Verifica la presenza di un'istruzione `Deny` esplicita relativa all'azione nelle tue policy dell'endpoint del cloud privato virtuale (VPC). Per l’esempio seguente, l’operazione è `codedeploy:ListDeployments`.

1. Aggiorna la tua policy sugli endpoint VPC rimuovendo l'istruzione `Deny`. Per ulteriori informazioni, consulta [Aggiornamento di una policy dell'endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#update-vpc-endpoint-policy) nella *AWS PrivateLink Guida*.

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codedeploy:ListDeployments
on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:*
with an explicit deny in a VPC endpoint policy
```

### Accesso negato a causa di limiti delle autorizzazioni: diniego implicito
<a name="access-denied-permissions-boundary-examples-implicit"></a>

1. Verifica la presenza di un'istruzione `Allow` mancante relativa all'azione nel limite delle autorizzazioni. Per l’esempio seguente, l’operazione è `codedeploy:ListDeployments`.

1. Aggiorna il limite delle autorizzazioni aggiungendo l'istruzione `Allow`relativa alla tua policy IAM. Per ulteriori informazioni, consultare [Limiti delle autorizzazioni per le entità IAM](access_policies_boundaries.md) e [Modificare le policy IAM](access_policies_manage-edit.md).

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codedeploy:ListDeployments
on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:*
because no permissions boundary allows the codedeploy:ListDeployments action
```

### Accesso negato a causa di un limite delle autorizzazioni: diniego esplicito
<a name="access-denied-permissions-boundary-examples-explicit"></a>

1. Se nel messaggio di errore viene fornito un ARN di policy, verifica la presenza di un'`Deny`istruzione per l'azione nel limite di autorizzazioni specificato. Nell'esempio seguente, l'azione è. `sagemaker:ListModels`

1. Se nel messaggio di errore non viene fornito alcun ARN della policy, verifica la presenza di un'`Deny`istruzione per l'azione nel limite delle autorizzazioni allegato al principale. 

1. Aggiorna il limite delle autorizzazioni rimuovendo l'istruzione `Deny`relativa alla tua policy IAM. Per ulteriori informazioni, consultare [Limiti delle autorizzazioni per le entità IAM](access_policies_boundaries.md) e [Modificare le policy IAM](access_policies_manage-edit.md).

Messaggio di errore con un ARN di policy:

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: sagemaker:ListModels
with an explicit deny in a permissions boundary: arn:aws:iam::123456789012:policy/DeveloperPermissionBoundary
```

Messaggio di errore senza un ARN di policy:

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: sagemaker:ListModels
with an explicit deny in a permissions boundary
```

### Accesso negato a causa di policy di sessione: diniego implicito
<a name="access-denied-session-policy-examples-implicit"></a>

1. Verifica la presenza di un'istruzione `Allow` mancante relativa all'azione nelle tue policy di sessione. Per l’esempio seguente, l’operazione è `codecommit:ListRepositories`.

1. Aggiorna la tua policy di sessione aggiungendo l'istruzione `Allow`. Per ulteriori informazioni, consulta la sezione [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) e [Modificare le policy IAM](access_policies_manage-edit.md).

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codecommit:ListRepositories
because no session policy allows the codecommit:ListRepositories action
```

### Accesso negato a causa di policy di sessione: diniego esplicito
<a name="access-denied-session-policy-examples-explicit"></a>

1. Se nel messaggio di errore viene fornito un ARN di policy, verifica la presenza di un'`Deny`istruzione per l'azione nella policy di sessione specificata. Nell'esempio seguente, l'azione è`codedeploy:ListDeployments`.

1. Se nel messaggio di errore non viene fornito alcun ARN dei criteri, verifica la presenza di un'`Deny`istruzione per l'azione nei criteri di sessione.

1. Aggiorna la tua policy di sessione rimuovendo l'istruzione `Deny`. Per ulteriori informazioni, consulta la sezione [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) e [Modificare le policy IAM](access_policies_manage-edit.md).

Messaggio di errore con un ARN di policy:

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codedeploy:ListDeployments
on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:*
with an explicit deny in a session policy: arn:aws:iam::123456789012:policy/DeveloperSessionPolicy
```

Messaggio di errore senza un ARN di policy:

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codedeploy:ListDeployments
on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:*
with an explicit deny in a session policy
```

### Accesso negato a causa di policy basate sulle risorse: diniego implicito
<a name="access-denied-resource-based-policy-examples-implicit"></a>

1. Verifica la presenza di un'istruzione `Allow` mancante relativa all'azione nella tua policy basata sulle risorse. Per l’esempio seguente, l’operazione è `secretsmanager:GetSecretValue`.

1. Aggiorna la tua policy aggiungendo l'istruzione `Allow`. Per ulteriori informazioni, consulta la sezione [Policy basate sulle risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) e [Modificare le policy IAM](access_policies_manage-edit.md).

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: secretsmanager:GetSecretValue
because no resource-based policy allows the secretsmanager:GetSecretValue action
```

### Accesso negato a causa di policy basate sulle risorse: diniego esplicito
<a name="access-denied-resource-based-policy-examples-explicit"></a>

1. Verifica la presenza di un'istruzione `Deny` esplicita relativa all'azione nella tua policy basata sulle risorse. Per l’esempio seguente, l’operazione è `secretsmanager:GetSecretValue`.

1. Aggiorna la tua policy rimuovendo l'istruzione `Deny`. Per ulteriori informazioni, consulta la sezione [Policy basate sulle risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) e [Modificare le policy IAM](access_policies_manage-edit.md).

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: secretsmanager:GetSecretValue
on resource: arn:aws:secretsmanager:us-east-1:123456789012:secret:*
with an explicit deny in a resource-based policy
```

### Accesso negato a causa di policy di attendibilità dei ruoli: diniego implicito
<a name="access-denied-role-trust-policy-examples-implicit"></a>

1. Verifica la presenza di un'istruzione `Allow` mancante relativa all'azione nella tua policy di attendibilità dei ruoli. Per l’esempio seguente, l’operazione è `sts:AssumeRole`.

1. Aggiorna la tua policy aggiungendo l'istruzione `Allow`. Per ulteriori informazioni, consulta la sezione [Policy basate sulle risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) e [Modificare le policy IAM](access_policies_manage-edit.md).

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: sts:AssumeRole
because no role trust policy allows the sts:AssumeRole action
```

### Accesso negato a causa di policy di attendibilità dei ruoli: diniego esplicito
<a name="access-denied-role-trust-policy-examples-explicit"></a>

1. Verifica la presenza di un'istruzione `Deny` esplicita relativa all'azione nella tua policy di attendibilità dei ruoli. Per l’esempio seguente, l’operazione è `sts:AssumeRole`.

1. Aggiorna la tua policy rimuovendo l'istruzione `Deny`. Per ulteriori informazioni, consulta la sezione [Policy basate sulle risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) e [Modificare le policy IAM](access_policies_manage-edit.md).

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: sts:AssumeRole
with an explicit deny in the role trust policy
```

### Accesso negato a causa di policy basate sull'identità: diniego implicito
<a name="access-denied-identity-based-policy-examples-implicit"></a>

1. Verifica l'eventuale mancanza di un'istruzione `Allow` per l'azione nelle politicy basate sull'identità collegate all'identità. Nel seguente esempio, l'azione `codecommit:ListRepositories` è collegata al ruolo `HR`.

1. Aggiorna la tua policy aggiungendo l’istruzione `Allow`. Per ulteriori informazioni, consulta la sezione [Policy basate sull’identità](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_id-based) e [Modificare le policy IAM](access_policies_manage-edit.md).

```
User: arn:aws:iam::123456789012:role/HR is not authorized to perform: codecommit:ListRepositories
because no identity-based policy allows the codecommit:ListRepositories action
```

### Accesso negato a causa di policy basate sull'identità: diniego esplicito
<a name="access-denied-identity-based-policy-examples-explicit"></a>

1. Se nel messaggio di errore viene fornito un ARN di policy, verifica la presenza di un'`Deny`istruzione per l'azione nella policy specificata. Nell'esempio seguente, l'azione è`codedeploy:ListDeployments`.

1. Se nel messaggio di errore non viene fornito alcun ARN del criterio, verifica la presenza di un'`Deny`istruzione per l'azione nelle politiche basate sull'identità allegate all'identità. 

1. Aggiorna la tua policy rimuovendo l’istruzione `Deny`. Per ulteriori informazioni, consulta la sezione [Policy basate sull’identità](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_id-based) e [Modificare le policy IAM](access_policies_manage-edit.md).

Messaggio di errore con un ARN di policy:

```
User: arn:aws:iam::123456789012:role/HR is not authorized to perform: codedeploy:ListDeployments
on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:*
with an explicit deny in an identity-based policy: arn:aws:iam::123456789012:policy/HRAccessPolicy
```

Messaggio di errore senza un ARN di policy:

```
User: arn:aws:iam::123456789012:role/HR is not authorized to perform: codedeploy:ListDeployments
on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:*
with an explicit deny in an identity-based policy
```

# Risoluzione dei problemi con l'utente root
<a name="troubleshooting_root-user"></a>

Le informazioni seguenti ti aiutano a risolvere i problemi relativi all'utente root di un Account AWS.

**Nota**  
Account AWS managed using AWS Organizations potrebbe avere l'[accesso root centralizzato](id_root-user.md#id_root-user-access-management) abilitato per gli account dei membri. Questi account membri non dispongono di credenziali dell'utente root, non possono accedere come utente root e non possono recuperare la password dell'utente root. Contatta l'amministratore se devi eseguire un'operazione che richiede le credenziali dell'utente root.

## Non riesco a eseguire le attività che mi aspetto di poter eseguire quando effettuo l'accesso come utente root dell'account
<a name="troubleshooting_root-user_tasks"></a>

L'account deve essere un membro dell'organizzazione in AWS Organizations. L'amministratore dell'organizzazione potrebbe disporre di una policy di controllo del servizio (SCP) per limitare le autorizzazioni dell'account. SCPs ha un impatto su tutti gli utenti, incluso l'utente root. Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html) nella *Guida per l’utente di AWS Organizations *.

## Ho dimenticato la password dell'utente root per il mio Account AWS
<a name="troubleshoot-forgot-root-password"></a>

Se sei un utente root e hai perso o dimenticato la password del tuo Account AWS, puoi reimpostarla. È necessario conoscere l'indirizzo e-mail utilizzato per creare Account AWS il e avere accesso all'account di posta elettronica. Per ulteriori informazioni, consulta [Reimpostare una password dell'utente root persa o dimenticata](reset-root-password.md).

## Non ho accesso all'e-mail del mio Account AWS
<a name="troubleshoot_general_lost-root-creds"></a>

Quando ne crei uno Account AWS, fornisci un indirizzo email e una password. Queste sono le credenziali per Utente root dell'account AWS. Se non sei sicuro dell'indirizzo e-mail associato al tuo Account AWS, cerca i messaggi inviati da `@signin.aws` o `@verify.signin.aws` verso qualsiasi indirizzo e-mail della tua organizzazione che potrebbe essere stato utilizzato per aprire il Account AWS.

Se conosci l'indirizzo e-mail ma non hai più accesso alla posta elettronica, prova innanzitutto a recuperare l'accesso all'e-mail. Utilizza una delle seguenti opzioni per ottenere l'accesso all'indirizzo e-mail:
+ Se sei il proprietario del dominio dell'indirizzo e-mail, puoi ripristinare un indirizzo e-mail eliminato. In alternativa, è possibile impostare un metodo catch-all per l'account di posta elettronica. Un catch-all raccoglie tutti i messaggi inviati a indirizzi e-mail che non esistono più nel server di posta e li reindirizza a un altro indirizzo e-mail.
+ Se l'indirizzo e-mail dell'account è parte del sistema di posta elettronica aziendale, si consiglia di contattare gli amministratori del sistema IT. Potrebbero essere in grado di aiutare a ottenere nuovamente l'accesso all'e-mail.

Se ancora non riesci ad accedere al tuo Account AWS, puoi trovare opzioni di supporto alternative alla pagina [Contattaci](https://aws.amazon.com/contact-us/).

# Risoluzione dei problemi relativi alle policy IAM
<a name="troubleshoot_policies"></a>

Una [policy](access_policies.md) è un'entità AWS che, se associata a un'identità o a una risorsa, ne definisce le autorizzazioni. AWS valuta queste politiche quando un principale, ad esempio un utente, effettua una richiesta. Le autorizzazioni nelle policy determinano l’approvazione o il rifiuto della richiesta. *Le politiche vengono archiviate AWS come documenti JSON allegati ai principali come politiche basate sull'*identità o alle risorse come politiche basate sulle risorse*.* È possibile collegare una policy basata sull'identità a un principale (o identità), ad esempio un gruppo, un utente o un ruolo IAM. Le policy basate sulle identità includono policy gestite da AWS , policy gestite dal cliente e policy inline. ****È possibile creare e modificare le politiche gestite dai clienti utilizzando le opzioni di editor Visual e JSON Console di gestione AWS .**** Quando si visualizza una politica in Console di gestione AWS, è possibile visualizzare un riepilogo delle autorizzazioni concesse da tale politica. L'editor visivo e i riepiloghi di policy consentono di individuare e risolvere errori comuni durante la gestione delle policy IAM.

Tieni presente che tutte le policy IAM vengono archiviate utilizzando una sintassi che inizia con le regole di [JavaScript Object Notation](http://www.json.org) (JSON). Non è necessario conoscere questa sintassi per creare o gestire le policy. È possibile creare e modificare una policy utilizzando l'editor visivo nella Console di gestione AWS. Per ulteriori informazioni sulla sintassi JSON nelle policy IAM, consulta [Sintassi del linguaggio della policy JSON IAM](reference_policies_grammar.md).

**Risoluzione dei problemi degli argomenti della policy IAM**
+ [Risoluzione dei problemi tramite l'editor visivo](#troubleshoot_policies-viseditor)
  + [Modifica della struttura delle policy](#troubleshoot_viseditor-restructure)
  + [Scelta di un ARN della risorsa nell'editor visivo](#troubleshoot_policies-resource-arn)
  + [Autorizzazioni nell'editor visivo](#troubleshoot_policies-switch-deny)
  + [Specifica di più servizi nell'editor visivo](#troubleshoot_policies-multiple-services)
  + [Riduzione delle dimensioni della policy nell'editor visivo](#troubleshoot_policy-size)
  + [Correzione di servizi, operazioni o tipi di risorse non riconosciuti nell'editor visivo](#troubleshoot_policies-unrecognized-visual)
+ [Risoluzione dei problemi tramite i riepiloghi delle policy](#troubleshoot_policies-polsum)
  + [Riepilogo della policy mancante](#missing-policy-summary)
  + [Il riepilogo della policy include servizi, operazioni o tipi di risorse non riconosciuti](#unrecognized-services-actions)
  + [Il servizio non supporta i riepiloghi delle policy IAM](#unsupported-services-actions)
  + [La policy non concede le autorizzazioni previste](#policy-summary-not-grant-permissions)
+ [Risoluzione dei problemi di gestione delle policy](#troubleshoot_policies-policy-manage)
  + [Collegamento o scollegamento di una policy in un account IAM](#troubleshoot_roles_cant-attach-detach-policy)
  + [Modifica delle policy per le identità IAM in base alla loro attività](#troubleshoot_change-policies-based-on-activity)
+ [Risoluzione dei problemi relativi ai documenti di policy JSON](#troubleshoot_policies-json)
  + [Convalida delle policy](#usepolicyvalidation)
  + [Non ho autorizzazioni per la convalida di policy nell'editor JSON](#nopermsforpolicyvalidation)
  + [Più di un oggetto di policy JSON](#morethanonepolicyblock)
  + [Più di un elemento di istruzione JSON](#morethanonestatement)
  + [Più di un elemento Effect, Action o Resource in un elemento di istruzione JSON](#duplicateelement)
  + [Elemento versione JSON mancante](#missing-version)

## Risoluzione dei problemi tramite l'editor visivo
<a name="troubleshoot_policies-viseditor"></a>

Quando si crea o si modifica una policy gestita dal cliente, è possibile utilizzare le informazioni nell'editor **Visivo** per semplificare la risoluzione degli errori della policy. Per visualizzare un esempio dell'editor visivo per creare una policy, consultare [Controllo dell'accesso alle identità](access_controlling.md#access_controlling-identities).

### Modifica della struttura delle policy
<a name="troubleshoot_viseditor-restructure"></a>

Quando crei una policy, la AWS convalida, la elabora e la trasforma prima di archiviarla. Quando la policy viene recuperata, la AWS trasforma nuovamente in un formato leggibile dall'uomo senza modificare le autorizzazioni. Ciò può causare differenze in ciò che viene visualizzato nell'editor visivo della policy o nella scheda **JSON**.
+ I blocchi di autorizzazioni dell'editor visivo possono essere aggiunti, rimossi o riordinati e il contenuto all'interno di un blocco può essere ottimizzato.
+ Nella scheda **JSON** lo spazio bianco non significativo può essere rimosso e gli elementi all'interno di mappe JSON possono essere riordinati. Inoltre, Account AWS IDs all'interno degli elementi principali può essere sostituito dall'Amazon Resource Name (ARN) di. Utente root dell'account AWS

A causa di queste possibili modifiche, non è possibile confrontare i documenti di policy JSON come stringhe.

Quando crei una policy gestita dai clienti in Console di gestione AWS, puoi scegliere di lavorare interamente nell'editor **JSON**. Se non si apportano modifiche alla policy nell'editor **Visivo** e si seleziona **Successivo** dall'editor **JSON**, è meno probabile che la policy venga ristrutturata. Quando si utilizza l'editor **visivo**, IAM potrebbe ristrutturare la policy per ottimizzarne l'aspetto. Questa ristrutturazione esiste solo nella sessione di modifica e non viene salvata automaticamente.

Se la policy è stata ristrutturata nella sessione di modifica, IAM determina se salvare la ristrutturazione in base alle seguenti situazioni:


| Utilizzo di questa opzione dell'editor | Se si modifica la policy | Quindi scegli ***Successivo*** da questa scheda | Quando si sceglie ***Save changes (Salva modifiche)*** | 
| --- | --- | --- | --- | 
| Visivo | Modificata | Visivo | La policy viene ristrutturata | 
| Visivo | Modificata | JSON | La policy viene ristrutturata | 
| Visivo | Non modificata | Visivo | La policy viene ristrutturata | 
| JSON | Modificata | Visivo | La policy viene ristrutturata | 
| JSON | Modificata | JSON | La struttura della policy non viene modificata | 
| JSON | Non modificata | JSON | La struttura della policy non viene modificata | 

IAM potrebbe ristrutturare policy complesse o policy che hanno blocchi di autorizzazione o istruzioni per permettere più servizi, tipi di risorse o chiavi di condizioni.

### Scelta di un ARN della risorsa nell'editor visivo
<a name="troubleshoot_policies-resource-arn"></a>

Quando si crea o si modifica una policy utilizzando l'editor visivo, è necessario prima selezionare un servizio, quindi selezionare operazioni da quel servizio. Se il servizio e le operazioni selezionate supportano la scelta di risorse [specifiche](access_controlling.md#access_controlling-resources), l'editor visivo elenca i tipi di risorse supportati. È quindi possibile selezionare **Add ARN (Aggiungi ARN)** per fornire i dettagli sulla risorsa. È possibile selezionare tra le seguenti opzioni per aggiungere un ARN per un tipo di risorsa.
+ **Utilizza il builder di ARN**: in base al tipo di risorsa, è possibile che siano visualizzati campi diversi per la creazione dell'ARN. È anche possibile selezionare **Any (Qualsiasi)** per fornire le autorizzazioni per qualsiasi valore per l'impostazione specificata. Ad esempio, se si seleziona il gruppo di livello di accesso **Lettura** di Amazon EC2, allora le operazioni nella policy supportano il tipo di risorsa `instance`. Fornisci la **regione**, l'**account** e **InstanceId**i valori per la tua risorsa. Se si fornisce l'ID account ma si seleziona **Qualsiasi** per la regione e l'ID istanza, la policy concede le autorizzazioni a qualsiasi istanza dell'account.
+ **Digita o incolla l'ARN**: puoi possibile specificare le risorse in base ai relativi [Amazon Resource Name (ARN)](reference_identifiers.md#identifiers-arns). È possibile includere caratteri jolly **\$1** in qualsiasi campo dell'ARN (tra ogni coppia di due punti). Per ulteriori informazioni, consulta [Elementi delle policy JSON IAM: Resource](reference_policies_elements_resource.md).

### Autorizzazioni nell'editor visivo
<a name="troubleshoot_policies-switch-deny"></a>

Per impostazione predefinita, la policy creata tramite l'editor visuale permette le operazioni scelte. Per rifiutare invece le operazioni scelte, selezionare **Switch to deny permissions (Passa a rifiuto autorizzazioni)**. Poiché le richieste vengono *rifiutate per impostazione predefinita*, si consiglia come best practice di sicurezza di permettere le autorizzazioni solo alle operazioni e alle risorse necessarie per un utente. È necessario creare un'istruzione per rifiutare le autorizzazioni solo se si desidera ignorare separatamente un'autorizzazione permessa da un'altra istruzione o policy. Si consiglia di limitare al minimo il numero di autorizzazioni di rifiuto perché possono aumentare la difficoltà di risoluzione dei problemi relative alle autorizzazioni. Per ulteriori informazioni sulla logica di valutazione della policy IAM, consulta [Logica di valutazione delle policy](reference_policies_evaluation-logic.md).

**Nota**  
Per impostazione predefinita, solo Utente root dell'account AWS chi ha accesso a tutte le risorse di quell'account. Pertanto, se non è stato effettuato l'accesso come utente root, è necessario disporre delle autorizzazioni concesse da una policy.

### Specifica di più servizi nell'editor visivo
<a name="troubleshoot_policies-multiple-services"></a>

Quando si utilizza l'editor visivo per creare una policy, è possibile selezionare solo un servizio alla volta. Si tratta di una best practice consigliata in quanto l'editor visivo consente in questo modo di selezionare tra le operazioni per tale singolo servizio. Quindi si sceglie tra le risorse supportate da tale servizio e le operazioni selezionate. Ciò semplifica la creazione e la risoluzione dei problemi della policy. 

È anche possibile usare un carattere jolly (\$1) per specificare manualmente più servizi. Ad esempio, digitare **Code\$1** per fornire le autorizzazioni per tutti i servizi che iniziano con `Code`, ad esempio `CodeBuild` e `CodeCommit`. Tuttavia, è necessario quindi digitare le azioni e le risorse ARNs per completare la politica. Inoltre, quando si salva la policy, potrebbe venire [ristrutturata](#troubleshoot_viseditor-restructure) per includere ciascun servizio in un blocco di autorizzazioni separate.

In alternativa, per utilizzare una sintassi JSON (ad esempio, i caratteri jolly) per i servizi, crea, modifica e salva la policy utilizzando l'opzione dell'editor **JSON**.

### Riduzione delle dimensioni della policy nell'editor visivo
<a name="troubleshoot_policy-size"></a>

Quando utilizzi l'editor visivo per creare una policy, IAM crea un documento JSON per archiviare la policy. È possibile visualizzare questo documento passando all'opzione dell'editor **JSON**. Se questo documento JSON supera il limite di dimensioni di una policy, l'editor visivo visualizza un messaggio di errore. Non sarai in grado di rivedere e salvare la policy. Per visualizzare i limiti di IAM per le dimensioni di una policy gestita, consulta [Limiti di caratteri di IAM e STS](reference_iam-quotas.md#reference_iam-quotas-entity-length). 

Per ridurre le dimensioni delle policy nell'editor visivo, modificare la policy o spostare blocchi di autorizzazioni in un'altra policy. Il messaggio di errore include il numero di caratteri contenuto nel documento di policy. Puoi utilizzare queste informazioni per ridurre le dimensioni della policy.

### Correzione di servizi, operazioni o tipi di risorse non riconosciuti nell'editor visivo
<a name="troubleshoot_policies-unrecognized-visual"></a>

È possibile che venga visualizzato un avviso nell'editor visivo che indica che la policy include un servizio, un'operazione o un tipo di risorsa non riconosciuti.

**Nota**  
IAM rivede i nomi di servizi, le operazioni e i tipi di risorse per i servizi che supportano i riepiloghi della policy. Tuttavia, il riepilogo della policy può includere un valore di risorse o una condizione che non esiste. Esegui sempre un test delle policy tramite il [simulatore di policy](access_policies_testing-policies.md).

Se la policy include servizi, operazioni o tipi di risorse non riconosciuti, si è verificato uno dei seguenti errori:
+ **Servizio di anteprima**: i servizi in anteprima non supportano l'editor visivo. Se si partecipa all'anteprima, è necessario digitare manualmente le azioni e le risorse ARNs per completare la politica. Puoi ignorare qualsiasi avviso e continuare. In alternativa, per digitare o incollare un documento della policy JSON è possibile scegliere l'opzione dell'editor **JSON**.
+ **Servizio personalizzato**: i servizi personalizzati non supportano l'editor visivo. Se si utilizza un servizio personalizzato, è necessario digitare manualmente le azioni e le risorse ARNs per completare la politica. Puoi ignorare qualsiasi avviso e continuare. In alternativa, per digitare o incollare un documento della policy JSON è possibile scegliere l'opzione dell'editor **JSON**.
+ Il **servizio non supporta l'editor visivo**: se la politica include un servizio a disponibilità generale (GA) che non supporta l'editor visivo, è necessario digitare manualmente le azioni e le risorse ARNs per completare la politica. Puoi ignorare qualsiasi avviso e continuare. In alternativa, per digitare o incollare un documento della policy JSON è possibile scegliere l'opzione dell'editor **JSON**. 

  I servizi disponibili a livello generale sono servizi che vengono rilasciati per il pubblico e non sono servizi di anteprima o personalizzati. Se un servizio non riconosciuto è disponibile a livello generale e il nome è scritto correttamente, significa che il servizio non supporta l'editor visivo. Per informazioni su come richiedere supporto per l'editor visivo o per il riepilogo della policy per un servizio con disponibilità generale, consultare [Il servizio non supporta i riepiloghi delle policy IAM](#unsupported-services-actions).
+ L'**azione non supporta l'editor visivo**: se la politica include un servizio supportato con un'azione non supportata, è necessario digitare manualmente le azioni e le risorse ARNs per completare la politica. Puoi ignorare qualsiasi avviso e continuare. In alternativa, per digitare o incollare un documento della policy JSON è possibile scegliere l'opzione dell'editor **JSON**.

  Se la policy include un servizio supportato con un'operazione non supportata, il servizio non supporta completamente l'editor visivo. Per informazioni su come richiedere supporto per l'editor visivo o per il riepilogo della policy per un servizio con disponibilità generale, consultare [Il servizio non supporta i riepiloghi delle policy IAM](#unsupported-services-actions).
+ **Il tipo di risorsa non supporta l'editor visivo**: se la policy include un'operazione supportata con un tipo di risorsa non supportato, è possibile ignorare l'avviso e continuare. Tuttavia, IAM non è in grado di confermare di aver incluso risorse per tutte le operazioni selezionate e potrebbero venire visualizzati avvisi aggiuntivi.
+ **Refuso**: quando si digita manualmente un servizio, un'operazione o una risorsa nell'editor visivo, è possibile che venga creata una policy che include un errore di battitura. Ti consigliamo di utilizzare l'editor visivo selezionando dall'elenco di servizi e operazioni. Quindi, completa la sezione delle risorse in base alle istruzioni. Se un servizio non supporta completamente l'editor visivo, potrebbe essere necessario digitare manualmente le parti della policy. 

  Se si è certi che la policy non contenga nessuno degli errori sopra riportati, è possibile che includa un refuso. Verifica i problemi seguenti:
  + Nomi di servizi, azioni e tipi di risorsa scritti in modo errato, ad esempio `s2` invece di `s3` o `ListMyBuckets` al posto di `ListAllMyBuckets`
  + Inserisci testo non necessario ARNs, ad esempio `arn:aws:s3: : :*`
  + Due punti (:) mancanti nelle azioni, ad esempio `iam.CreateUser`

  È possibile valutare una policy che potrebbe contenere refusi scegliendo **Successivo** per rivedere il riepilogo della policy. Quindi, verifica se la policy fornisce le autorizzazioni previste.

## Risoluzione dei problemi tramite i riepiloghi delle policy
<a name="troubleshoot_policies-polsum"></a>

È possibile individuare e risolvere i problemi relativi ai riepiloghi delle policy.

### Riepilogo della policy mancante
<a name="missing-policy-summary"></a>

La console IAM include tabelle di *riepilogo di policy* che descrivono il livello di accesso, le risorse e le condizioni concesse o negate per ciascun servizio in una policy. Le policy sono riassunte in tre tabelle: [riepilogo della policy](access_policies_understand-policy-summary.md), [riepilogo del servizio](access_policies_understand-service-summary.md) e [riepilogo dell'operazione](access_policies_understand-action-summary.md). La tabella *riepilogo della policy* include un elenco di servizi e riepiloghi delle autorizzazioni definite dalla policy scelta. È possibile visualizzare il [riepilogo delle policy](access_policies_understand.md) per qualsiasi policy associata a un'entità nella pagina **Dettagli della policy** relativa a tale policy. È possibile visualizzare il riepilogo della policy per le policy gestite nella pagina **Policies (Policy)**. Se non AWS è possibile visualizzare un riepilogo di una policy, verrà visualizzato il documento relativo alla policy JSON e il seguente errore:

**Impossibile generare un riepilogo per questa policy. Puoi comunque visualizzare o modificare il documento di policy JSON.**

Se la policy non include un riepilogo, si è verificato uno dei seguenti errori:
+ **Elemento della policy non supportato**: IAM non supporta la generazione di riepiloghi di policy per le policy che includono uno dei seguenti [elementi di policy](reference_policies_elements.md):
  + `Principal`
  + `NotPrincipal`
  + `NotResource`
+ **Nessuna autorizzazione di policy**: se una policy non fornisce le autorizzazioni valide, non è possibile generare il riepilogo della policy. Ad esempio, se una policy include una singola istruzione con l'elemento `"NotAction": "*"`, si permette l'accesso a tutte le operazioni ad eccezione di "tutte le operazioni" (\$1). Questo significa che concede accesso `Deny` o `Allow` a nulla.
**Nota**  
Prestare attenzione all'utilizzo di elementi di policy quali `NotPrincipal`, `NotAction` e `NotResource`. Per ulteriori informazioni sull'utilizzo degli elementi delle policy, consultare [Documentazione di riferimento degli elementi delle policy JSON IAM](reference_policies_elements.md).

  Se si forniscono servizi e risorse non corrispondenti, è possibile creare una policy che non fornisce autorizzazioni valide. Ciò può verificarsi se si specificano le operazioni in un servizio e le risorse di un altro servizio. In questo caso, viene visualizzato il riepilogo della policy. L'unica indicazione che si è verificato un problema è che la colonna delle risorse nel riepilogo può includere una risorsa di un servizio diverso. Se questa colonna include una risorsa non corrispondente, è necessario verificare se ci sono errori nella policy. Per comprendere meglio la policy, esegui sempre un test tramite il [simulatore di policy](access_policies_testing-policies.md).

### Il riepilogo della policy include servizi, operazioni o tipi di risorse non riconosciuti
<a name="unrecognized-services-actions"></a>

Nella console IAM, se un [riepilogo di policy](access_policies_understand.md) include un simbolo di avvertenza (![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/console-alert-icon.console.png)), la policy potrebbe includere un tipo di servizio, operazione o risorsa non riconosciuto. Per ulteriori informazioni sulle avvertenze in un riepilogo della policy, consultare [Riepilogo della policy (elenco di servizi)](access_policies_understand-policy-summary.md). 

**Nota**  
IAM rivede i nomi di servizio, le operazioni e i tipi di risorse per i servizi che supportano i riepiloghi della policy. Tuttavia, il riepilogo della policy può includere un valore di risorse o una condizione che non esiste. Esegui sempre un test delle policy tramite il [simulatore di policy](access_policies_testing-policies.md).

Se la policy include servizi, operazioni o tipi di risorse non riconosciuti, si è verificato uno dei seguenti errori:
+ **Servizio di anteprima**: i servizi in anteprima non supportano i riepiloghi di policy.
+ **Servizio personalizzato**: i servizi personalizzati non supportano i riepiloghi di policy.
+ **Il servizio non supporta riepiloghi**: se la policy include un servizio disponibile a livello generale (GA) che non supporta riepiloghi di policy, allora il servizio viene incluso nella sezione **Servizi non riconosciuti** della tabella di riepilogo della policy. I servizi disponibili a livello generale sono servizi che vengono rilasciati per il pubblico e non sono servizi di anteprima o personalizzati. Se un servizio non riconosciuto è disponibile a livello generale e il nome è scritto correttamente, allora significa che il servizio non supporta i riepiloghi di policy IAM. Per informazioni su come richiedere supporto per il riepilogo della policy per un servizio con disponibilità generale, consultare [Il servizio non supporta i riepiloghi delle policy IAM](#unsupported-services-actions).
+ **L'operazione non supporta i riepiloghi**: se la policy include un servizio supportato con un'operazione non supportata, allora l'operazione viene inclusa nella sezione **Operazioni non riconosciute** della tabella di riepilogo del servizio. Per ulteriori informazioni sulle avvertenze in un riepilogo di servizio, consultare [Riepilogo del servizio (elenco di operazioni)](access_policies_understand-service-summary.md).
+ **Il tipo di risorsa non supporta i riepiloghi**: se la policy include un'operazione supportata con un tipo di risorsa non supportato, allora la risorsa viene inclusa nella sezione **Tipi di risorse non riconosciuti** della tabella di riepilogo del servizio. Per ulteriori informazioni sulle avvertenze in un riepilogo di servizio, consultare [Riepilogo del servizio (elenco di operazioni)](access_policies_understand-service-summary.md).
+ [Errore di **battitura**: AWS verifica che il codice JSON sia sintatticamente corretto e che la policy non includa errori di battitura o altri errori come parte della convalida della policy.](access_policies_policy-validator.md)

**Nota**  
Come [best practice](best-practices.md), ti consigliamo di utilizzare IAM Access Analyzer per convalidare le tue policy IAM e garantire autorizzazioni sicure e funzionali. Consigliamo di aprire le policy esistenti e rivedere e risolvere eventuali suggerimenti di convalida della policy.

### Il servizio non supporta i riepiloghi delle policy IAM
<a name="unsupported-services-actions"></a>

È possibile che i riepiloghi delle policy IAM o l'editor visivo non supportino un'operazione o un servizio disponibile a livello generale. I servizi disponibili a livello generale sono servizi che vengono rilasciati per il pubblico e che non sono servizi di anteprima o personalizzati. Se un servizio non riconosciuto è disponibile a livello generale e il nome è scritto correttamente, significa che il servizio non supporta queste caratteristiche. Se la policy include un servizio supportato con un'operazione non supportata, il servizio non supporta completamente il riepilogo della policy IAM.

**Come richiedere che un servizio aggiunga il supporto per l'editor visivo o per il riepilogo della policy IAM**

1. Accedi e apri la console IAM all' Console di gestione AWS indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Individuare la policy che include il servizio non supportati:
   + Se la policy è una policy gestita, selezionare **Policies (Policy)** nel riquadro di navigazione. Nell'elenco delle policy, selezionare il nome della policy che si desidera modificare.
   + Se la policy è una policy inline collegata all'utente, selezionare **Users (Utenti)** nel riquadro di navigazione. Nell'elenco di utenti, selezionare il nome dell'utente la cui policy si desidera visualizzare. Nella tabella di policy per l'utente, espandere l'intestazione per il riepilogo della policy che si desidera visualizzare.

1. Nella parte sinistra del Console di gestione AWS piè di pagina, scegli **Feedback**. Nella casella **Feedback per IAM**, digita **I request that the <ServiceName> service add support for IAM policy summaries and the visual editor**. Se si desidera che più di un servizio supporti i riepiloghi, digitare **I request that the <ServiceName1>, <ServiceName2>, and <ServiceName3> services add support for IAM policy summaries and the visual editor**.

**Come richiedere che un servizio aggiunga il supporto per l'editor visivo o per il riepilogo della policy IAM per un'operazione mancante**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Individuare la policy che include il servizio non supportati:
   + Se la policy è una policy gestita, selezionare **Policies (Policy)** nel riquadro di navigazione. Nell'elenco delle policy, selezionare il nome della policy che si desidera modificare.
   + Se la policy è una policy inline collegata all'utente, selezionare **Users (Utenti)** nel riquadro di navigazione. Nell'elenco di utenti, selezionare il nome dell'utente la cui policy si desidera visualizzare. Nella tabella delle policy per l'utente, selezionare il nome della policy che cui si desidera visualizzare per espandere il riepilogo della policy.

1. Nel riepilogo della policy, selezionare il nome del servizio che include un'operazione non supportata.

1. Nella parte sinistra del Console di gestione AWS piè di pagina, scegli **Feedback**. Nella casella **Feedback per IAM**, digita **I request that the <ServiceName> service add IAM policy summary and the visual editor support for the <ActionName> action**. Se si desidera segnalare più di un'operazione non supportata, digitare **I request that the <ServiceName> service add IAM policy summary and the visual editor support for the <ActionName1>, <ActionName2>, and <ActionName3> actions**. 

Per richiedere che un altro servizio includa operazioni mancanti, ripetere gli ultimi tre passaggi.

### La policy non concede le autorizzazioni previste
<a name="policy-summary-not-grant-permissions"></a>

Per assegnare le autorizzazioni a un utente, gruppo, ruolo o risorsa, è necessario creare una *policy*, ovvero un documento che definisca le autorizzazioni. Il documento della policy include i seguenti elementi:
+ **Effetto**: indica se la policy consente o nega l'accesso
+ **Azione**: l'elenco delle operazioni consentite o rifiutate dalla policy
+ **Risorsa**: l'elenco delle risorse in cui possono essere eseguite le operazioni
+ **Condizione** (facoltativo): le circostanze in base alle quali la policy concede l'autorizzazione

Per informazioni su questi elementi di policy, consultare [Documentazione di riferimento degli elementi delle policy JSON IAM](reference_policies_elements.md). 

Per garantire l'accesso, la policy deve definire un'operazione con una risorsa supportata. Se la policy include anche una condizione, tale condizione deve includere una [chiave di condizione globale](reference_policies_condition-keys.md) o deve essere applicata all'operazione. Per scoprire quali risorse sono supportate da un'operazione, consulta la [documentazione di AWS](https://docs.aws.amazon.com/) relativa al servizio. Per sapere quali condizioni sono supportate da un'azione, consulta [Azioni, risorse e chiavi di condizione per AWS i servizi](reference_policies_actions-resources-contextkeys.html).

Verifica se la policy definisce un'operazione, una risorsa o una condizione che non concede autorizzazioni. Visualizza il [riepilogo delle policy](access_policies_understand-policy-summary.md) relative alla tua policy utilizzando la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). È possibile utilizzare riepiloghi di policy per identificare e risolvere i problemi della policy.

Esistono diversi motivi per cui un elemento potrebbe non concedere autorizzazioni nonostante sia definito nella policy IAM:
+ [**Un'operazione è definita senza una risorsa applicabile**](#mismatch_action-no-resource)
+ [**Una risorsa è definita senza un'operazione applicabile**](#mismatch_resource-no-action)
+ [**Una condizione è definita senza un'operazione applicabile**](#mismatch_condition-no-match)

Per visualizzare esempi di riepiloghi di policy che includono avvisi, consultare [Riepilogo della policy (elenco di servizi)](access_policies_understand-policy-summary.md).

#### Un'operazione è definita senza una risorsa applicabile
<a name="mismatch_action-no-resource"></a>

La policy di seguito definisce tutte le operazioni `ec2:Describe*` e definisce una risorsa specifica. Nessuna delle operazioni `ec2:Describe` viene permessa perché nessuna di tali operazioni supporta le autorizzazioni a livello di risorsa. Le autorizzazioni a livello di risorsa indicano che l'azione supporta l'utilizzo di risorse [ARNs](reference_identifiers.md#identifiers-arns)nell'elemento della policy. [`Resource`](reference_policies_elements_resource.md) Se un'operazione non supporta le autorizzazioni a livello di risorsa, tale istruzione della policy deve utilizzare un carattere jolly (`*`) nell'elemento `Resource`. Per scoprire i servizi che supportano le autorizzazioni a livello di risorsa, consultare [AWS servizi che funzionano con IAM](reference_aws-services-that-work-with-iam.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:Describe*",
            "Resource": "arn:aws:ec2:us-east-2:111122223333:instance/*"
        }
    ]
}
```

------

Questa policy non fornisce alcuna autorizzazione e il riepilogo della policy include il seguente errore:

`This policy does not grant any permissions. To grant access, policies must have an action that has an applicable resource or condition.`

Per correggere la policy, è necessario utilizzare `*` nell'elemento `Resource`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": "ec2:Describe*",
        "Resource": "*"
    }]
}
```

------

#### Una risorsa è definita senza un'operazione applicabile
<a name="mismatch_resource-no-action"></a>

La policy di seguito definisce una risorsa del bucket Amazon S3 ma non include un'operazione S3 che può essere eseguita su tale risorsa. Questa politica garantisce inoltre l'accesso completo a tutte le CloudFront azioni di Amazon.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
        "Effect": "Allow",
        "Action": "cloudfront:*",
        "Resource": [
            "arn:aws:cloudfront:*",
            "arn:aws:s3:::amzn-s3-demo-bucket"
        ]
        }
    ]
}
```

------

Questa politica fornisce le autorizzazioni per tutte le CloudFront azioni. Tuttavia, poiché la policy definisce le risorse `amzn-s3-demo-bucket` di S3 senza definire alcuna operazione S3, il riepilogo della policy include il seguente avviso:

`This policy defines some actions, resources, or conditions that do not provide permissions. To grant access, policies must have an action that has an applicable resource or condition.`

Per correggere questa policy per fornire autorizzazioni del bucket S3, è necessario definire operazioni S3 che possono essere eseguite su una risorsa bucket.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudfront:*",
                "s3:CreateBucket",
                "s3:ListBucket*",
                "s3:PutBucket*",
                "s3:GetBucket*"
            ],
            "Resource": [
                "arn:aws:cloudfront:*",
                "arn:aws:s3:::amzn-s3-demo-bucket"
            ]
        }
    ]
}
```

------

In alternativa, per correggere questa politica e fornire solo le CloudFront autorizzazioni, rimuovi la risorsa S3.

#### Una condizione è definita senza un'operazione applicabile
<a name="mismatch_condition-no-match"></a>

La policy di seguito definisce due operazioni Amazon S3 per tutte le risorse S3, se il prefisso S3 è uguale a `custom` e l'ID della versione è uguale a `1234`. Tuttavia, la chiave della condizione `s3:VersionId` viene utilizzata per il tagging della versione dell'oggetto e non è supportata dalle operazioni bucket definite. Per sapere quali condizioni sono supportate da un'azione, consulta [Azioni, risorse e chiavi di condizione per AWS i servizi e scegli il servizio per](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) visualizzare la documentazione del servizio relativa alle chiavi di condizione.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucketVersions",
                "s3:ListBucket"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "s3:prefix": [
                        "custom"
                    ],
                    "s3:VersionId": [
                        "1234"
                    ]
                }
            }
        }
    ]
}
```

------

Questa policy fornisce le autorizzazioni per l'operazione `s3:ListBucketVersions` e l'operazione `s3:ListBucket` se il nome del bucket include il prefisso `custom`. Tuttavia, poiché la condizione `s3:VersionId` non è supportata da nessuna delle operazioni definite, il riepilogo della policy include il seguente errore:

`This policy does not grant any permissions. To grant access, policies must have an action that has an applicable resource or condition.`

Per correggere questa policy e utilizzare il tagging della versione dell'oggetto S3, è necessario definire un'operazione S3 che supporti la chiave della condizione `s3:VersionId`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucketVersions",
                "s3:ListBucket",
                "s3:GetObjectVersion"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "s3:prefix": [
                        "custom"
                    ],
                    "s3:VersionId": [
                        "1234"
                    ]
                }
            }
        }
    ]
}
```

------

Questa policy fornisce le autorizzazioni per ogni operazione e condizione nella policy. Tuttavia, la policy non fornisce nessuna autorizzazione perché non esiste un caso in cui una singola operazione corrisponda a entrambe le condizioni. Al contrario, è necessario creare due dichiarazioni separate che includano ciascuna solo le operazioni con le condizioni a cui si applicano.

Per correggere questa policy, è necessario creare due istruzioni. La prima istruzione include le operazioni che supportano la condizione `s3:prefix` e la seconda istruzione include le operazioni che supportano la condizione `s3:VersionId`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucketVersions",
                "s3:ListBucket"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "s3:prefix": "custom"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "s3:GetObjectVersion",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "s3:VersionId": "1234"
                }
            }
        }
    ]
}
```

------

## Risoluzione dei problemi di gestione delle policy
<a name="troubleshoot_policies-policy-manage"></a>

È possibile individuare e risolvere i problemi correlati alla gestione delle policy.

### Collegamento o scollegamento di una policy in un account IAM
<a name="troubleshoot_roles_cant-attach-detach-policy"></a>

Alcune politiche AWS gestite sono collegate a un servizio. Queste policy vengono utilizzate solo con un [ruolo collegato a un servizio](id_roles.md#iam-term-service-linked-role) per tale servizio. Nella console IAM, quando si visualizza la pagina **Dettagli della policy**, sarà presente un banner per indicare che la policy è collegata a un servizio. Non è possibile collegare questa policy a un utente, un gruppo o un ruolo all'interno di IAM. Quando si crea un ruolo collegato al servizio per il servizio, questa policy viene automaticamente collegata al nuovo ruolo. Poiché la policy è obbligatoria, non è possibile distaccare la policy dal ruolo collegato al servizio. 

### Modifica delle policy per le identità IAM in base alla loro attività
<a name="troubleshoot_change-policies-based-on-activity"></a>

È possibile aggiornare le policy per le identità IAM (utenti, gruppi e ruoli) in base alla loro attività. A tale scopo, visualizza gli eventi del tuo account nella CloudTrail **Cronologia** degli eventi. CloudTrail i registri degli eventi includono informazioni dettagliate sugli eventi che puoi utilizzare per modificare le autorizzazioni della politica.

**Un utente o un ruolo sta tentando di eseguire un'azione in AWS e tale richiesta viene rifiutata.**  
Valuta se l'utente o il ruolo deve disporre dell'autorizzazione per eseguire l'operazione. In questo caso, è possibile aggiungere alla policy l'operazione e anche l'ARN della risorsa a cui cerca di accedere.

**Un utente o un ruolo dispone di autorizzazioni che non utilizza.**  
Valuta la possibilità di rimuovere tali autorizzazioni dalla loro policy. Verifica che le policy concedano i [privilegi minimi](best-practices.md#grant-least-privilege) necessari per eseguire solo le operazioni necessarie.

Per ulteriori informazioni sull'utilizzo CloudTrail, vedere [Visualizzazione CloudTrail degli eventi nella CloudTrail console nella](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) *Guida per l'AWS CloudTrail utente*.

## Risoluzione dei problemi relativi ai documenti di policy JSON
<a name="troubleshoot_policies-json"></a>

È possibile individuare e risolvere i problemi relativi ai documenti di policy JSON.

### Convalida delle policy
<a name="usepolicyvalidation"></a>

 Quando crei o si modifichi una policy JSON, IAM può eseguire la convalida delle policy per facilitare la creazione di una policy efficace. IAM identificherà gli errori di sintassi JSON, mentre IAM Access Analyzer fornisce ulteriori controlli delle policy con suggerimenti che consentono di perfezionare ulteriormente le policy. Per ulteriori informazioni sulla convalida delle policy, consulta [Convalida delle policy IAM](access_policies_policy-validator.md). Per ulteriori informazioni sui controlli di policy di IAM Access Analyzer e sui suggerimenti utili, consulta [Convalida delle policy di IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html). 

### Non ho autorizzazioni per la convalida di policy nell'editor JSON
<a name="nopermsforpolicyvalidation"></a>

In Console di gestione AWS, potresti ricevere il seguente errore se non disponi delle autorizzazioni per visualizzare i risultati di convalida delle policy di IAM Access Analyzer:

`You need permissions. You do not have the permissions required to perform this operation. Ask your administrator to add permissions.`

Per risolvere questo errore, chiedere all'amministratore di aggiungere l'autorizzazione `access-analyzer:ValidatePolicy` per proprio conto.

### Più di un oggetto di policy JSON
<a name="morethanonepolicyblock"></a>

Una policy IAM deve essere costituita da un solo oggetto JSON. È possibile denotare un oggetto racchiudendolo tra parentesi graffe \$1 \$1. Puoi nidificare altri oggetti all'interno di un oggetto JSON incorporando ulteriori parentesi graffe \$1 \$1 all'interno della coppia esterna. Una policy deve contenere solo una coppia più esterna di \$1 \$1 parentesi graffe. L'esempio seguente non è corretto perché contiene due oggetti al livello superiore (richiamati in): *red*

------
#### [ JSON ]

****  

```
{
      "Version":"2012-10-17",		 	 	 
      "Statement": 
      {
         "Effect":"Allow",
         "Action":"ec2:Describe*",
         "Resource":"*"
      }
    }
    { 
      "Statement": {
         "Effect": "Allow",
         "Action": "s3:*",
         "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
      }
    }
```

------

Tuttavia, è possibile soddisfare l'intenzione dell'esempio precedente con l'uso di una corretta grammatica di policy. Anziché includere due oggetti di policy completi ciascuno con il proprio elemento `Statement`, è possibile combinare i due blocchi in un singolo elemento `Statement`. L'elemento `Statement` dispone di una serie di due oggetti come valore, come mostrato nell'esempio seguente (evidenziato in **grassetto**): 

------
#### [ JSON ]

****  

```
{
      "Version":"2012-10-17",		 	 	 
      "Statement": [
        {
          "Effect": "Allow",
          "Action": "ec2:Describe*",
          "Resource":"*"
        },
        {
          "Effect": "Allow",
          "Action": "s3:*",
          "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
      ]
    }
```

------

### Più di un elemento di istruzione JSON
<a name="morethanonestatement"></a>

Questo errore potrebbe apparentemente sembrare una variazione della sezione precedente. Tuttavia, sintatticamente si tratta di un altro tipo di errore. L'esempio seguente include un solo oggetto della policy come indicato da una singola coppia di parentesi graffe \$1 \$1 al livello più alto. Tuttavia, quell'oggetto contiene due elementi `Statement` al suo interno.

 Una policy IAM deve contenere solo un elemento `Statement`, che include il nome (`Statement`) che appare alla sinistra di due punti, seguito dal rispettivo valore sulla destra. Il valore di un elemento `Statement` deve essere un oggetto, contrassegnato da parentesi graffe \$1\$1, che contiene un elemento `Effect`, un elemento `Action` e un elemento `Resource`. L'esempio seguente non è corretto perché contiene due `Statement` elementi nell'oggetto policy (chiamato in*red*):

------
#### [ JSON ]

****  

```
{
      "Version":"2012-10-17",		 	 	 
      "Statement": {
        "Effect": "Allow",
        "Action": "ec2:Describe*",
        "Resource": "*"
      },
      "Statement": {
        "Effect": "Allow",
        "Action": "s3:*",
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
      }
    }
```

------

Un oggetto valore può essere una matrice di oggetti a valore multiplo. Per risolvere questo problema, combinare i due elementi `Statement` in un unico elemento con una matrice di oggetti, come mostrato nell'esempio seguente (evidenziato in **grassetto**):

------
#### [ JSON ]

****  

```
{
      "Version":"2012-10-17",		 	 	 
      "Statement": [
        {
          "Effect": "Allow",
          "Action": "ec2:Describe*",
          "Resource":"*"
        },
        {
          "Effect": "Allow",
          "Action": "s3:*",
          "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
     ]
    }
```

------

Il valore dell'elemento `Statement` è una matrice di oggetti. La matrice in questo esempio è costituita da due oggetti, ognuno dei quali è di per sé un valore corretto per un elemento `Statement`. Ogni oggetto nella matrice è separato da virgole.

### Più di un elemento Effect, Action o Resource in un elemento di istruzione JSON
<a name="duplicateelement"></a>

Per quanto riguarda i valori della `Statement` name/value coppia, l'oggetto deve essere costituito da un solo `Effect` elemento, un `Action` elemento e un `Resource` elemento. La policy seguente non è corretta poiché include due elementi `Effect` in `Statement`:

------
#### [ JSON ]

****  

```
{
      "Version":"2012-10-17",		 	 	 
      "Statement": {
        "Effect": "Deny",
        "Effect": "Allow",     
        "Action": "ec2:* ",
        "Resource": "*"
      }
    }
```

------

**Nota**  
Il motore di policy non permette tali errori nelle policy nuove o modificate. Tuttavia, il motore di policy permettere le policy che sono state salvate prima che il motore fosse aggiornato. Il comportamento delle policy esistenti con l'errore è il seguente:  
Più elementi `Effect`: viene osservato solo l'ultimo elemento `Effect`. Gli altri valori vengono ignorati.
Più elementi `Action`: tutti gli elementi `Action` vengono combinati internamente e trattati come se fossero un unico elenco.
Più elementi `Resource`: tutti gli elementi `Resource` vengono combinati internamente e trattati come se fossero un unico elenco.
ll motore di policy non permette di salvare alcuna policy con errori di sintassi. Correggi gli errori nella policy prima di salvarla. Rivedi e correggi tutti i suggerimenti di [convalida delle policy](access_policies_policy-validator.md) per le tue policy.

 In ogni caso, la soluzione consiste nel rimuovere l'elemento aggiuntivo. Per elementi `Effect`, è semplice: se si desidera che l'esempio precedente *rifiuti* le autorizzazioni per le istanze Amazon EC2, è necessario rimuovere la riga `"Effect": "Allow",` dalla policy come segue:

------
#### [ JSON ]

****  

```
{
      "Version":"2012-10-17",		 	 	 
      "Statement": {
        "Effect": "Deny",
        "Action": "ec2:*",
        "Resource": "*"
      }
    }
```

------

Tuttavia, se l'elemento duplicato è `Action` oppure `Resource`, la risoluzione può essere più complicata. Potrebbero essere presenti più operazioni per cui si desidera permettere (o rifiutare) l'autorizzazione oppure si potrebbe voler controllare l'accesso a più risorse. Ad esempio, l'esempio seguente non è corretto perché contiene più `Resource` elementi (richiamati in*red*):

------
#### [ JSON ]

****  

```
{
      "Version":"2012-10-17",		 	 	 
      "Statement": {
        "Effect": "Allow",
        "Action": "s3:*",
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
      }
    }
```

------

Tutti gli elementi necessari in un oggetto valore di un elemento `Statement` può essere presente una sola volta. La soluzione consiste nel posizionare ogni valore in una matrice. L'esempio che segue illustra questa operazione separando i due elementi risorsa in un elemento `Resource` con una matrice come valore oggetto (evidenziata in **grassetto**):

------
#### [ JSON ]

****  

```
{	
      "Version":"2012-10-17",		 	 	 
      "Statement": {
        "Effect": "Allow",
        "Action": "s3:*",
        "Resource": [
          "arn:aws:s3:::amzn-s3-demo-bucket",
          "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ]
      }
    }
```

------

### Elemento versione JSON mancante
<a name="missing-version"></a>

Un elemento di policy `Version` è diverso da una versione di policy. L'elemento di policy `Version` viene utilizzato all'interno di una policy e definisce la versione del linguaggio di policy. Per contro, una versione della policy viene creata quando si modifica una policy gestita dal cliente in IAM. La policy modificata non viene sovrascritta a quella precedente. IAM crea invece una nuova versione della policy gestita. Per ulteriori informazioni sull'elemento di policy `Version`, consultare [Elementi delle policy JSON IAM: Version](reference_policies_elements_version.md). Per ulteriori informazioni sulle versioni di policy, consultare [Controllo delle versioni delle policy IAM](access_policies_managed-versioning.md).

Man mano che AWS le funzionalità si evolvono, vengono aggiunte nuove funzionalità alle policy IAM per supportarle. A volte, un aggiornamento della sintassi della policy include un nuovo numero di versione. Se si utilizzano le caratteristiche più recenti della grammatica di policy nella policy, è necessario indicare al motore di analisi delle policy quale versione si sta utilizzando. La versione di policy predefinita è "2008-10-17". Se si desidera utilizzare qualsiasi funzione di policy introdotta successivamente, è necessario specificare il numero di versione che supporta la funzionalità desiderata. Si consiglia di includere *sempre* il numero di versione della sintassi di policy più recente, che è al momento `"Version": "2012-10-17"`. Ad esempio, la policy seguente non è corretta perché utilizza una variabile di policy `${...}` nell'ARN per una risorsa. Ma non riesce a specificare una versione della sintassi delle policy che supporti le variabili di policy (richiamate in*red*):

```
{
  "Statement": 
  {
    "Action": "iam:*AccessKey*",
    "Effect": "Allow",
    "Resource": "arn:aws:iam::123456789012:user/${aws:username}"
  }
}
```

Aggiungendo un elemento `Version` nella parte superiore della policy con il valore `2012-10-17`, la prima versione di API IAM che supporta variabili di policy, è possibile risolvere il problema (evidenziato in **grassetto**):

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": 
  {
    "Action": "iam:*AccessKey*",
    "Effect": "Allow",
    "Resource": "arn:aws:iam::123456789012:user/${aws:username}"
  }
}
```

------

# Risoluzione dei problemi relativi alle passkey e alle chiavi di sicurezza FIDO
<a name="troubleshoot_mfa-fido"></a>

Utilizza queste informazioni per aiutarti a diagnosticare i problemi più comuni che potresti riscontrare quando lavori con le chiavi FIDO2 di sicurezza.

**Topics**
+ [Non riesco ad abilitare la chiave di sicurezza FIDO](#troubleshoot_mfa-fido-cant-enable)
+ [Non riesco a effettuare l'accesso utilizzando la chiave di sicurezza FIDO](#troubleshoot_mfa-fido-signin)
+ [Ho perso o danneggiato la mia chiave di sicurezza FIDO](#troubleshoot_mfa-fido-lost)
+ [Altri problemi.](#troubleshoot_mfa-fido-other-issues)

## Non riesco ad abilitare la chiave di sicurezza FIDO
<a name="troubleshoot_mfa-fido-cant-enable"></a>

Consulta le seguenti soluzioni a seconda del tuo stato come amministratore di sistema o utente IAM.

### Utenti IAM
<a name="troubleshoot_mfa-fido-cant-enable-iam-user"></a>

Se non riesci ad abilitare la chiave di sicurezza FIDO, verifica quanto segue:
+ Stai utilizzando una configurazione supportata?

  IAM supporta i dispositivi FIDO2 di sicurezza che si connettono ai tuoi dispositivi tramite USB o NFC. Bluetooth IAM supporta anche gli autenticatori di piattaforma come TouchID o FaceID. IAM non supporta la registrazione locale delle passkey per Windows Hello. Per creare e utilizzare le passkey, gli utenti Windows devono utilizzare l'[autenticazione tra dispositivi](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda), che prevede l'utilizzo di una passkey di un dispositivo, ad esempio un dispositivo mobile, o di una chiave di sicurezza hardware per accedere su un altro dispositivo, ad esempio un laptop.

  Per informazioni sui dispositivi e sui browser che puoi utilizzare con WebAuthn e AWS, consulta[Configurazioni supportate per l'uso delle passkey e delle chiavi di sicurezza](id_credentials_mfa_fido_supported_configurations.md).
+ Stai utilizzando plug-in di browser?

  AWS non supporta l'uso di plugin per aggiungere il supporto al WebAuthn browser. Utilizza invece un browser che offra il supporto nativo dello WebAuthn standard.

  Anche se utilizzi un browser supportato, potresti avere un plug-in con WebAuthn cui è incompatibile. Un plug-in non compatibile potrebbe impedirti di abilitare e utilizzare la chiave di sicurezza conforme a FIDO. Disabilita qualsiasi plug-in che può risultare incompatibile e riavvia il browser. Quindi riprova ad abilitare la chiave di sicurezza FIDO.
+ Disponi delle autorizzazioni appropriate?

  Se non hai nessuno dei problemi descritti precedentemente, è possibile che non disponi delle autorizzazioni appropriate. Contatta l'amministratore di sistema. 

### Amministratori di sistema
<a name="troubleshoot_mfa-fido-cant-enable-sys-admin"></a>

Se i tuoi utenti IAM non sono in grado di abilitare le relative chiavi di sicurezza FIDO nonostante utilizzino una configurazione supportata, controlla le loro autorizzazioni. Per un esempio dettagliato, consulta [Tutorial IAM: consentire agli utenti di gestire le proprie credenziali e impostazioni MFA](tutorial_users-self-manage-mfa-and-creds.md).

## Non riesco a effettuare l'accesso utilizzando la chiave di sicurezza FIDO
<a name="troubleshoot_mfa-fido-signin"></a>

Se non riesci ad accedere Console di gestione AWS utilizzando la tua chiave di sicurezza FIDO, consulta innanzitutto. [Configurazioni supportate per l'uso delle passkey e delle chiavi di sicurezza](id_credentials_mfa_fido_supported_configurations.md) Se utilizzi una configurazione supportata, ma non puoi effettuare l'accesso, contatta l'amministratore di sistema per ricevere assistenza. 

## Ho perso o danneggiato la mia chiave di sicurezza FIDO
<a name="troubleshoot_mfa-fido-lost"></a>

Puoi assegnare a un utente fino a **otto** dispositivi MFA in qualsiasi combinazione dei [tipi di MFA attualmente supportati](https://aws.amazon.com/iam/features/mfa/). Con più dispositivi MFA, per accedere alla Console di gestione AWSè necessario un solo dispositivo MFA. La sostituzione di una chiave di sicurezza FIDO è analoga alla sostituzione di un token TOTP hardware. Se si perde o si rompe qualsiasi tipo di dispositivo MFA, consulta [Recuperare un'identità protetta da MFA in IAM](id_credentials_mfa_lost-or-broken.md).

## Altri problemi.
<a name="troubleshoot_mfa-fido-other-issues"></a>

Se hai un problema con le chiavi di sicurezza FIDO non descritto qui, procedi in uno dei seguenti modi:
+ Utenti IAM: contattare l'amministratore di sistema.
+ Account AWS utenti root: contatta l'[AWS assistenza](https://aws.amazon.com/premiumsupport/).

# Risoluzione dei problemi relativi ai ruoli IAM
<a name="troubleshoot_roles"></a>

Utilizza le informazioni contenute in questa pagina per eseguire la diagnosi e risolvere i problemi comuni che possono verificarsi durante l'utilizzo di ruoli IAM.

**Topics**
+ [Non è possibile assumere un ruolo](#troubleshoot_roles_cant-assume-role)
+ [Nel mio account è apparso un nuovo ruolo AWS](#troubleshoot_roles_new-role-appeared)
+ [Non riesco a modificare o eliminare un ruolo nel mio Account AWS](#troubleshoot_roles_cant-edit-delete-role)
+ [Non sono autorizzato a eseguire: iam: PassRole](#troubleshoot_roles_not-auth-passrole)
+ [Perché non posso assumere un ruolo con una sessione di 12 ore? (AWS CLI, AWS API)](#troubleshoot_roles_cant-set-session)
+ [Viene visualizzato un errore quando provo a passare da un ruolo a un altro nella console IAM](#troubleshoot_roles_cant-switch-role-console)
+ [Il mio ruolo ha un policy che mi consente di eseguire un'operazione, ma ricevo "Accesso negato"](#troubleshoot_roles_session-policy)
+ [Il servizio non ha creato la versione delle policy predefinite del ruolo](#troubleshoot_serviceroles_edited-policy)
+ [Non esiste un caso d'uso per un ruolo di servizio nella console](#troubleshoot_serviceroles_console-use-case)

## Non è possibile assumere un ruolo
<a name="troubleshoot_roles_cant-assume-role"></a>

Verifica quanto segue:
+ Per consentire agli utenti di assumere nuovamente il ruolo corrente all'interno di una sessione di ruolo, specificare il ruolo ARN o Account AWS ARN come principale nella politica di attendibilità dei ruoli. Servizi AWS che forniscono risorse di elaborazione come Amazon EC2, Amazon ECS, Amazon EKS e Lambda forniscono credenziali temporanee e aggiornano automaticamente tali credenziali. Ciò garantisce di disporre sempre di un set di credenziali valido. Per questi servizi, non è necessario riassumere il ruolo attuale per ottenere credenziali temporanee. Tuttavia, se intendi passare [tag di sessione](id_session-tags.md) o una [Policy di sessione](access_policies.md#policies_session), devi riassumere il ruolo attuale. Per informazioni su come modificare una politica di attendibilità dei ruoli per aggiungere il ruolo principale ARN o Account AWS ARN, vedere. [Aggiornamento di una policy di attendibilità del ruolo](id_roles_update-role-trust-policy.md)
+ Quando assumi un ruolo utilizzando il Console di gestione AWS, assicurati di utilizzare il nome esatto del ruolo. I nomi dei ruoli fanno infatti distinzione tra maiuscole e minuscole.
+ Quando assumi un ruolo utilizzando l' AWS STS API oppure AWS CLI, assicurati di utilizzare il nome esatto del tuo ruolo nell'ARN. I nomi dei ruoli fanno infatti distinzione tra maiuscole e minuscole. 
+ Quando assumi un ruolo utilizzando un provider di identità federato basato su SAML e la crittografia SAML è abilitata, assicurati di aver caricato una chiave di decrittografia privata valida per il provider di identità SAML. Per ulteriori informazioni, consulta [Gestire le chiavi di crittografia SAML](id_roles_providers_create_saml.md#id_federation_manage-saml-encryption).
+ Verifica che la policy IAM conceda l'autorizzazione per chiamare `sts:AssumeRole` per il ruolo che desideri assumere. L'elemento `Action` della policy IAM deve consentire di chiamare l'operazione `AssumeRole`. Inoltre, l'elemento `Resource` della policy IAM deve specificare il ruolo che desideri assumere. Ad esempio, l'elemento `Resource` può specificare un ruolo in base all'Amazon Resource Name (ARN) o utilizzando un carattere jolly (\$1). Ad esempio, almeno una policy applicabile è necessaria per concedere le autorizzazioni simili a quanto segue:

  ```
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Resource": "arn:aws:iam::account_id_number:role/role-name-you-want-to-assume"
  ```
+ Verifica che l'identità IAM sia taggata con eventuali tag richiesti dalla policy IAM. Ad esempio, nella seguente policy di autorizzazione, l'elemento `Condition` richiede che il principale richiedente l'assunzione del ruolo debba avere un determinato tag. Al principale deve essere applicato il tag `department = HR` o `department = CS`. In caso contrario, non può assumere quel ruolo. Per ulteriori informazioni sul tagging di utenti e ruoli IAM, consulta [Tag per AWS Identity and Access Management le risorse](id_tags.md).

  ```
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Resource": "*",
      "Condition": {"StringEquals": {"aws:PrincipalTag/department": [
              "HR",
              "CS"
          ]}}
  ```
+ Verificare di soddisfare tutte le condizioni specificate nella policy di affidabilità del ruolo. Una `Condition` può specificare una data di scadenza, un ID esterno o che una richiesta deve provenire solo da indirizzi IP specifici. Considera l'esempio seguente: se la data corrente è qualsiasi momento dopo la data specifica, la policy non corrisponde mai e non è in grado di concedere l'autorizzazione per assumere il ruolo.

  ```
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Resource": "arn:aws:iam::account_id_number:role/role-name-you-want-to-assume"
      "Condition": {
          "DateLessThan" : {
              "aws:CurrentTime" : "2016-05-01T12:00:00Z"
          }
      }
  ```
+ Verifica che l'entità Account AWS da cui stai chiamando `AssumeRole` sia un'entità attendibile per il ruolo che stai assumendo. Le entità affidabili vengono definite come `Principal` in una policy di affidabilità del ruolo. L'esempio seguente è una policy di affidabilità collegata al ruolo che desideri assumere. In questo esempio, l'ID account con l'utente IAM con il quale hai effettuato l'accesso deve essere 123456789012. Se il numero di account non è elencato nell'elemento `Principal` della policy di affidabilità del ruolo, non puoi assumere il ruolo. Ciò è valido indipendentemente dalle autorizzazioni concesse nelle policy di accesso. Notare che la policy di esempio limita le autorizzazioni a operazioni che si verificano tra il 1° luglio 2017 e il 31 dicembre 2017 (UTC), inclusi. Se si effettua l'accesso prima o dopo tali date, la policy non corrisponde e non è possibile assumere il ruolo. 

  ```
      "Effect": "Allow",
      "Principal": { "AWS": "arn:aws:iam::123456789012:root" },
      "Action": "sts:AssumeRole",
      "Condition": {
        "DateGreaterThan": {"aws:CurrentTime": "2017-07-01T00:00:00Z"},
        "DateLessThan": {"aws:CurrentTime": "2017-12-31T23:59:59Z"}
      }
  ```
+ **Identità di origine***: gli amministratori possono configurare i ruoli in modo da richiedere alle identità di passare una stringa personalizzata che identifica la persona o l'applicazione in cui esegue le azioni AWS, denominata identità di origine.* Verifica se il ruolo assunto richiede l'impostazione di un'identità di origine. Per ulteriori informazioni sull'identità di origine, consulta [Monitoraggio e controllo delle operazioni intraprese con i ruoli assunti](id_credentials_temp_control-access_monitor.md).

## Nel mio account è apparso un nuovo ruolo AWS
<a name="troubleshoot_roles_new-role-appeared"></a>

Alcuni AWS servizi richiedono l'utilizzo di un tipo di ruolo di servizio univoco collegato direttamente al servizio. Questo [ruolo collegato ai servizi](id_roles.md#iam-term-service-linked-role) è predefinito dal servizio e include tutte le autorizzazioni che il servizio richiede. Ciò rende più semplice la configurazione di un servizio perché non si devono aggiungere manualmente le autorizzazioni necessarie. Per informazioni generali sui ruoli collegati al servizio, consultare [Creare un ruolo collegato ai servizi](id_roles_create-service-linked-role.md).

Un servizio potrebbe essere già in utilizzo quando inizia a supportare i ruoli collegati al servizio. In questo caso, è possibile ricevere un'e-mail con informazioni su un nuovo ruolo nell'account. Questo ruolo include tutte le autorizzazioni delle quali il servizio ha bisogno per eseguire operazioni a proprio nome. Non bisogna eseguire alcuna operazione per supportare questo ruolo. Tuttavia, non bisogna eliminare il ruolo dall'account. Altrimenti si potrebbero rimuovere le autorizzazioni delle quali il servizio ha bisogno per accedere alle risorse AWS . È possibile visualizzare i ruoli collegati ai servizi nell'account passando la pagina **Ruoli** IAM della console IAM. I ruoli collegati al servizio vengono visualizzati con l'indicazione **(Service-linked role) (Ruolo collegato al servizio)** nella colonna **Trusted entities (Entità attendibili)** della tabella.

Per informazioni su quali servizi supportano i ruoli collegati ai servizi, consulta [AWS servizi che funzionano con IAM](reference_aws-services-that-work-with-iam.md) e cercare i servizi che hanno **Sì** nella colonna **Ruolo collegato ai servizi**. Per ulteriori informazioni sull'utilizzo di un ruolo collegato ai servizi per un servizio, selezionare il collegamento **Yes (Sì)**.

## Non riesco a modificare o eliminare un ruolo nel mio Account AWS
<a name="troubleshoot_roles_cant-edit-delete-role"></a>

Non è possibile eliminare o modificare le autorizzazioni per un [ruolo collegato ai servizi](id_roles.md#iam-term-service-linked-role) in IAM. Questi ruoli includono trust e autorizzazioni predefiniti richiesti dal servizio per eseguire operazioni a proprio nome. Puoi utilizzare la console o l'API IAM per modificare solo la descrizione di un ruolo collegato al servizio. AWS CLI Puoi visualizzare i ruoli collegati ai servizi nell'account visitando la pagina **Ruoli** IAM nella console. I ruoli collegati al servizio vengono visualizzati con l'indicazione **(Service-linked role) (Ruolo collegato al servizio)** nella colonna **Trusted entities (Entità attendibili)** della tabella. Un banner nella pagina **Summary (Riepilogo)** del ruolo indica anche che un ruolo è un ruolo collegato ai servizi. È possibile gestire ed eliminare questi ruoli solo attraverso il servizio collegato, se quel servizio supporta l'operazione. Fare attenzione quando si modifica o elimina un ruolo collegato ai servizi poiché tale operazione può rimuovere le autorizzazioni delle quali il servizio ha bisogno per accedere alle risorse AWS . 

Per informazioni su quali servizi supportano i ruoli collegati ai servizi, consulta [AWS servizi che funzionano con IAM](reference_aws-services-that-work-with-iam.md) e cercare i servizi che hanno **Sì** nella colonna **Ruolo collegato ai servizi**. 

## Non sono autorizzato a eseguire: iam: PassRole
<a name="troubleshoot_roles_not-auth-passrole"></a>

Quando si crea un ruolo collegato ai servizi, è necessario disporre delle autorizzazioni per inoltrare quel ruolo al servizio. Alcuni servizi creano automaticamente un ruolo collegato ai servizi nell'account quando si esegue un'azione in quel servizio. Ad esempio, Amazon EC2 Auto Scaling crea il ruolo collegato ai servizi `AWSServiceRoleForAutoScaling` la prima volta che si crea un gruppo Auto Scaling. Se si cerca di creare un gruppo Auto Scaling senza l'autorizzazione `PassRole`, si riceve il seguente messaggio di errore:

`ClientError: An error occurred (AccessDenied) when calling the PutLifecycleHook operation: User: arn:aws:sts::111122223333:assumed-role/Testrole/Diego is not authorized to perform: iam:PassRole on resource: arn:aws:iam::111122223333:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling`

Per risolvere questo errore, chiedere all'amministratore di aggiungere l'autorizzazione `iam:PassRole` per proprio conto.

Per scoprire i servizi che supportano i ruoli collegati ai servizi, consulta [AWS servizi che funzionano con IAM](reference_aws-services-that-work-with-iam.md). Per scoprire se un servizio crea automaticamente un ruolo collegato ai servizi, selezionare il link **Yes (Sì)** per visualizzare la documentazione del ruolo collegato ai servizi per quel servizio.

## Perché non posso assumere un ruolo con una sessione di 12 ore? (AWS CLI, AWS API)
<a name="troubleshoot_roles_cant-set-session"></a>

Quando si utilizzano le operazioni AWS STS `AssumeRole*` API o `assume-role*` CLI per assumere un ruolo, è possibile specificare un valore per il `DurationSeconds` parametro. Puoi specificare un valore da 900 secondi (15 minuti) fino alla **durata massima impostata per la sessione** per il ruolo. Se si specifica un valore superiore a questa impostazione, l'operazione ha esito negativo. Questa impostazione può avere un valore massimo di 12 ore. Ad esempio, se si specifica una durata di sessione di 12 ore, ma l'amministratore ha impostato la durata massima di sessione a 6 ore, l'operazione ha esito negativo. Per informazioni su come visualizzare il valore massimo per il ruolo, consulta [Aggiornamento della durata massima della sessione per un ruolo](id_roles_update-role-settings.md#id_roles_update-session-duration). 

Se si utilizza l'[*concatenamento dei ruoli*](id_roles.md#iam-term-role-chaining) (utilizzando un ruolo per assumere un secondo ruolo), la sessione è limitata a un massimo di un'ora. Se successivamente utilizzi il parametro `DurationSeconds` per fornire un valore superiore a un'ora, l'operazione ha esito negativo. 

## Viene visualizzato un errore quando provo a passare da un ruolo a un altro nella console IAM
<a name="troubleshoot_roles_cant-switch-role-console"></a>

Le informazioni immesse nella pagina **Cambia ruolo** devono corrispondere a quelle relative al ruolo. In caso contrario, l'operazione non riesce e viene visualizzato il seguente errore:

`Invalid information in one or more fields. Check your information or contact your administrator.`

Se viene visualizzato questo errore, verificare che le seguenti informazioni siano corrette:
+ **ID account o alias**: l' Account AWS ID è un numero di 12 cifre. Il tuo account potrebbe avere un alias, che è un identificativo semplice come il nome della tua azienda, che può essere utilizzato al posto del tuo ID. Account AWS In questo campo è possibile utilizzare l'ID account o l'alias.
+ **Nome ruolo**: i nomi dei ruoli fanno distinzione tra maiuscole e minuscole. L'ID account e il nome del ruolo devono corrispondere a quelli configurati per il ruolo.

Se si continua a ricevere un messaggio di errore, contattare l'amministratore per verificare le informazioni precedenti. La policy di attendibilità del ruolo o la policy dell'utente IAM potrebbe limitare l'accesso. L'amministratore può verificare le autorizzazioni per questi criteri.

## Il mio ruolo ha un policy che mi consente di eseguire un'operazione, ma ricevo "Accesso negato"
<a name="troubleshoot_roles_session-policy"></a>

La sessione del ruolo potrebbe essere limitata dalle policy di sessione. [Quando [richiedi credenziali di sicurezza temporanee](id_credentials_temp_request.md) a livello di codice AWS STS, puoi facoltativamente passare policy di sessione in linea o gestite.](access_policies.md#policies_session) Le policy di sessione sono policy avanzate che vengono passate come parametro durante la creazione di una sessione temporanea per un ruolo a livello di programmazione. Puoi passare un singolo documento della policy di sessione inline JSON utilizzando il parametro `Policy`. Puoi utilizzare il parametro `PolicyArns` per specificare fino a 10 policy di sessione gestite. Le autorizzazioni della sessione risultanti sono l'intersezione tra le policy basate sull'identità del ruolo e le policy di sessione. In alternativa, se l'amministratore o un programma personalizzato fornisce le credenziali temporanee, potrebbero includere policy di sessione per limitare l'accesso.

## Il servizio non ha creato la versione delle policy predefinite del ruolo
<a name="troubleshoot_serviceroles_edited-policy"></a>

Un ruolo di servizio è un ruolo che un servizio assume per eseguire operazioni nel tuo account a tuo nome. Quando si configurano alcuni ambienti di AWS servizio, è necessario definire un ruolo da assumere per il servizio. In alcuni casi, il servizio crea il ruolo di servizio e le relative policy in IAM per tuo conto. Sebbene sia possibile modificare o eliminare il ruolo di servizio e la relativa policy dall'interno di IAM, AWS consiglia di non seguire questa opzione. Il ruolo e il criterio sono destinati solo a tale servizio. Se si modifica il criterio e si imposta un altro ambiente, quando il servizio tenta di utilizzare lo stesso ruolo e criterio, l'operazione potrebbe non riuscire.

Ad esempio, quando si utilizza AWS CodeBuild per la prima volta, il servizio crea un ruolo denominato`codebuild-RWBCore-service-role`. Tale ruolo di servizio utilizza il criterio denominato `codebuild-RWBCore-managed-policy`. Se si modifica il criterio, viene creata una nuova versione che viene salvata come versione predefinita. Se si esegue un'operazione successiva in AWS CodeBuild, il servizio potrebbe tentare di aggiornare la politica. In tal caso, viene visualizzato il seguente errore:

`codebuild.amazon.com did not create the default version (V2) of the codebuild-RWBCore-managed-policy policy that is attached to the codebuild-RWBCore-service-role role. To continue, detach the policy from any other identities and then delete the policy and the role.`

Se viene visualizzato questo errore, dovrai apportare le modifiche in IAM prima di poter continuare con l'operazione di servizio. Innanzitutto, impostare la versione predefinita del criterio su V1 e riprovare l'operazione. Se V1 è stato eliminato in precedenza o se la scelta di V1 non funziona, pulire ed eliminare il criterio e il ruolo esistenti.

Per ulteriori informazioni sulla modifica dei criteri gestiti, vedere [Modifica di policy gestite dal cliente (console)](access_policies_manage-edit-console.md#edit-customer-managed-policy-console). Per ulteriori informazioni sulle versioni dei criteri, consulta [Controllo delle versioni delle policy IAM](access_policies_managed-versioning.md). 

**Per eliminare un ruolo di servizio e il relativo criterio**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione, scegli **Policy**.

1. Nell'elenco delle policy, selezionare il nome della policy che si desidera modificare.

1. Scegli la scheda **Entità collegate** per visualizzare gli utenti, i gruppi o i ruoli IAM che utilizzano questa policy. Se una di queste identità utilizza il criterio, completare le seguenti attività:

   1. Creare un nuovo criterio gestito con le autorizzazioni necessarie. Per assicurarsi che le identità dispongano delle stesse autorizzazioni prima e dopo le azioni, copiare il documento dei criteri JSON dal criterio esistente. Crea quindi la nuova policy gestita e incolla il documento JSON come descritto in [Creazione di policy utilizzando l'editor JSON](access_policies_create-console.md#access_policies_create-json-editor).

   1. Per ogni identità interessata, allegare il nuovo criterio e quindi staccare quello precedente. Per ulteriori informazioni, consulta [Aggiunta e rimozione di autorizzazioni per identità IAM](access_policies_manage-attach-detach.md).

1. Nel riquadro di navigazione, seleziona **Ruoli**.

1. Nell'elenco dei ruoli scegliere il nome del ruolo che si desidera eliminare.

1. Scegliere la scheda **Relazioni di trust** per visualizzare le entità che possono assumere il ruolo. Se è elencata un'entità diversa dal servizio, completare le seguenti attività:

   1. [Creare un nuovo ruolo](id_roles_create_for-user.md#roles-creatingrole-user-console) che si attenda a tali entità.

   1. Pertanto, devi collegare la policy creata nella fase precedente. Se questo passaggio è stato ignorato, creare subito il nuovo criterio gestito.

   1. Informare chiunque abbia assunto il ruolo che non può più farlo. Fornire loro informazioni su come assumere il nuovo ruolo e disporre delle stesse autorizzazioni.

1. [Eliminare il criterio](access_policies_manage-delete-console.md#delete-customer-managed-policy-console).

1. [Eliminare il ruolo](id_roles_manage_delete.md#roles-managingrole-deleting-console).

## Non esiste un caso d'uso per un ruolo di servizio nella console
<a name="troubleshoot_serviceroles_console-use-case"></a>

Alcuni servizi richiedono la creazione manuale di un ruolo di servizio per concedere al servizio autorizzazioni per eseguire operazioni per conto dell'utente. Se il servizio non è elencato nella console IAM, dovrai elencarlo manualmente come principale attendibile. Se la documentazione relativa al servizio o alla funzionalità in uso non include istruzioni per elencare il servizio come principale attendibile, fornisci un feedback sulla pagina.

Per creare manualmente un ruolo di servizio, è necessario conoscere il [principale del servizio](reference_policies_elements_principal.md#principal-services) per il servizio che assumerà il ruolo. Un'entità servizio è un identificatore che viene utilizzato per concedere autorizzazioni a un servizio. Il principale del servizio è definito dal servizio. 

È possibile trovare il principale del servizio per alcuni servizi con la seguente procedura:

1. Aprire [AWS servizi che funzionano con IAM](reference_aws-services-that-work-with-iam.md).

1. Verificare se per il servizio è indicato **Sì** nella colonna **Ruoli collegati ai servizi** .

1. Scegli il collegamento **Sì** per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

1. Trova la sezione Autorizzazioni del ruolo collegato ai servizi per quel servizio per visualizzare il [principale del servizio](reference_policies_elements_principal.md#principal-services).

È possibile creare manualmente un ruolo del servizio utilizzando i [comandi della AWS CLI](id_roles_create_for-service.md#roles-creatingrole-service-cli) o le [operazioni delle API AWS](id_roles_create_for-service.md#roles-creatingrole-service-api). Per creare manualmente un ruolo di servizio utilizzando la console IAM, completa le seguenti attività:

1. Crea un ruolo IAM utilizzando il tuo ID account. Non allegare una policy o concedere autorizzazioni. Per informazioni dettagliate, vedi [Creazione di un ruolo per fornire le autorizzazioni a un utente IAM](id_roles_create_for-user.md).

1. Apri il ruolo e modificare la relazione di attendibilità. Invece di fidarsi dell'account, il ruolo deve considerare attendibile il servizio. Ad esempio, aggiorna il seguente elemento `Principal`:

   ```
   "Principal": { "AWS": "arn:aws:iam::123456789012:root" }
   ```

   Cambia il valore del principale per il servizio, ad esempio IAM.

   ```
   "Principal": { "Service": "iam.amazonaws.com" }
   ```

1. Aggiungi le autorizzazioni richieste dal servizio allegando le policy di autorizzazione al ruolo.

1. Torna al servizio che richiede le autorizzazioni e utilizza il metodo documentato per notificare al servizio il nuovo ruolo di servizio.

# Risoluzione dei problemi relativi a IAM e Amazon EC2
<a name="troubleshoot_iam-ec2"></a>

Le informazioni seguenti possono essere utili per risolvere i problemi relativi a IAM con Amazon EC2.

**Topics**
+ [Durante l'avvio di un'istanza, il ruolo non viene visualizzato nell'elenco **Ruolo IAM** nella console Amazon EC2.](#troubleshoot_iam-ec2_missingrole)
+ [Le credenziali per l'istanza si riferiscono al ruolo errato](#troubleshoot_iam-ec2_wrongrole)
+ [Quando tento di chiamare `AddRoleToInstanceProfile`, viene visualizzato un errore `AccessDenied`](#troubleshoot_iam-ec2_access-denied-adding-role)
+ [Amazon EC2: quando provo ad avviare un'istanza con un ruolo, ricevo un errore `AccessDenied`](#troubleshoot_iam-ec2_access-denied-launch)
+ [Non è possibile accedere alle credenziali di sicurezza temporanee nell'istanza EC2](#troubleshoot_iam-ec2_no-keys)
+ [Cosa significano gli errori riportati nel documento `info` nella sottostruttura IAM?](#troubleshoot_iam-ec2_errors-info-doc)

## Durante l'avvio di un'istanza, il ruolo non viene visualizzato nell'elenco **Ruolo IAM** nella console Amazon EC2.
<a name="troubleshoot_iam-ec2_missingrole"></a>

Verifica quanto segue:
+ Se si è effettuato l'accesso come utente IAM, verificare di disporre dell'autorizzazione a chiamare `ListInstanceProfiles`. Per ulteriori informazioni sulle autorizzazioni necessarie per gestire i ruoli, consulta [Autorizzazioni richieste per l'utilizzo dei ruoli con Amazon EC2](id_roles_use_switch-role-ec2.md#roles-usingrole-ec2instance-permissions). Per informazioni sull'aggiunta di autorizzazioni a un utente, consultare [Gestire le policy IAM](access_policies_manage.md).

  Se non puoi modificare le tue autorizzazioni, contatta un amministratore che possa utilizzare IAM per aggiornare le autorizzazioni.
+ Se è stato creato un ruolo utilizzando la CLI o l'API di IAM, verifica che:
  + Sia stato creato un profilo dell'istanza e che sia stato aggiunto a tale profilo.
  + Sia stato usato lo stesso nome per il ruolo e il profilo dell'istanza. Inoltre, se il ruolo e il profilo dell'istanza sono stati chiamati in modo diverso, nella console Amazon EC2 non verrà visualizzato il nome del ruolo corretto.

  L'elenco **Ruolo IAM** nella console Amazon EC2 riporta i nomi dei profili dell'istanza, non i nomi dei ruoli. Sarà necessario selezionare il nome del profilo dell'istanza che contiene il ruolo desiderato. Per ulteriori informazioni sui profili dell'istanza, consultare [Usare profili dell'istanza](id_roles_use_switch-role-ec2_instance-profiles.md).
**Nota**  
Se utilizzi la console IAM per creare ruoli, non è necessario lavorare con i profili dell'istanza. Per ogni ruolo creato nella console IAM viene creato un profilo dell'istanza con lo stesso nome del ruolo e il ruolo viene automaticamente aggiunto a tale profilo. Un profilo di istanza può contenere un solo ruolo IAM e tale limite non può essere aumentato.

## Le credenziali per l'istanza si riferiscono al ruolo errato
<a name="troubleshoot_iam-ec2_wrongrole"></a>

Il ruolo nel profilo dell'istanza potrebbe essere stato sostituito di recente. In questo caso, l'applicazione deve attendere la prossima rotazione delle credenziali pianificata automaticamente prima che le credenziali per il ruolo diventino disponibili.

Per forzare la modifica, devi [dissociare il profilo dell'istanza](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DisassociateIamInstanceProfile.html) e quindi [associare il profilo dell'istanza](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AssociateIamInstanceProfile.html) oppure arrestare l'istanza e riavviarla.

## Quando tento di chiamare `AddRoleToInstanceProfile`, viene visualizzato un errore `AccessDenied`
<a name="troubleshoot_iam-ec2_access-denied-adding-role"></a>

Se stai effettuando richieste come utente IAM, verifica di disporre delle autorizzazioni seguenti:
+ `iam:AddRoleToInstanceProfile` con la risorsa corrispondente all'ARN del profilo dell'istanza (ad esempio, `arn:aws:iam::999999999999:instance-profile/ExampleInstanceProfile`). 

Per ulteriori informazioni sulle autorizzazioni necessarie per gestire i ruoli, consulta [Come si inizia?](id_roles_use_switch-role-ec2.md#roles-usingrole-ec2instance-get-started). Per informazioni sull'aggiunta di autorizzazioni a un utente, consultare [Gestire le policy IAM](access_policies_manage.md).

## Amazon EC2: quando provo ad avviare un'istanza con un ruolo, ricevo un errore `AccessDenied`
<a name="troubleshoot_iam-ec2_access-denied-launch"></a>

Verifica quanto segue:
+ Avviare un'istanza senza un profilo dell'istanza. In questo modo il problema sarà limitato ai ruoli IAM per le istanze Amazon EC2.
+ Se stai effettuando richieste come utente IAM, verifica di disporre delle autorizzazioni seguenti:
  + `ec2:RunInstances` con una risorsa jolly ("\$1")
  + `iam:PassRole` con la risorsa corrispondente all'ARN del ruolo (ad esempio, `arn:aws:iam::999999999999:role/ExampleRoleName`)
+ Chiama l'operazione `GetInstanceProfile` IAM per assicurarti di stare utilizzando un profilo dell'istanza valido o un ARN del profilo di istanza valido. Per ulteriori informazioni, consulta [Utilizzo dei ruoli IAM con le istanze Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/UsingIAM.html#UsingIAMrolesWithAmazonEC2Instances).
+ Chiama l'operazione `GetInstanceProfile` IAM per assicurarti che il profilo di istanza disponga di un ruolo. I profili dell'istanza vuoti genereranno un errore `AccessDenied`. Per ulteriori informazioni sulla creazione di un ruolo, consultare [Creazione di ruoli IAM](id_roles_create.md).

Per ulteriori informazioni sulle autorizzazioni necessarie per gestire i ruoli, consulta [Come si inizia?](id_roles_use_switch-role-ec2.md#roles-usingrole-ec2instance-get-started). Per informazioni sull'aggiunta di autorizzazioni a un utente, consultare [Gestire le policy IAM](access_policies_manage.md). 

## Non è possibile accedere alle credenziali di sicurezza temporanee nell'istanza EC2
<a name="troubleshoot_iam-ec2_no-keys"></a>

Per accedere alle credenziali di sicurezza temporanee nell'istanza EC2, è necessario innanzitutto utilizzare la console IAM per creare un ruolo. Quindi, avviare un'istanza EC2 che utilizza tale ruolo ed esaminare l'istanza in esecuzione. Per ulteriori informazioni, consulta **How Do I Get Started?** in [Utilizzare un ruolo IAM per concedere autorizzazioni alle applicazioni in esecuzione su istanze Amazon EC2](id_roles_use_switch-role-ec2.md).

Se non è ancora possibile accedere alle credenziali di sicurezza temporanee sull'istanza EC2, verificare quanto segue:
+ È possibile accedere a un'altra parte di Instance Metadata Service (IMDS)? In caso contrario, verificare che non vi siano regole del firewall che bloccano l'accesso alle richieste a IMDS.

  ```
  [ec2-user@domU-12-31-39-0A-8D-DE ~]$ GET http://169.254.169.254/latest/meta-data/hostname; echo
  ```
+ La sottostruttura `iam` di IMDS esiste? In caso contrario, verifica che all'istanza sia associato un profilo dell'istanza IAM chiamando l'operazione API `DescribeInstances` di EC2 o utilizzando il comando della CLI `aws ec2 describe-instances`. 

  ```
  [ec2-user@domU-12-31-39-0A-8D-DE ~]$ GET http://169.254.169.254/latest/meta-data/iam; echo
  ```
+ Verifica la presenza di un errore nel documento `info` nella sottostruttura IAM. Se è presente un errore, consultare [Cosa significano gli errori riportati nel documento `info` nella sottostruttura IAM?](#troubleshoot_iam-ec2_errors-info-doc) per ulteriori informazioni.

  ```
  [ec2-user@domU-12-31-39-0A-8D-DE ~]$ GET http://169.254.169.254/latest/meta-data/iam/info; echo
  ```

## Cosa significano gli errori riportati nel documento `info` nella sottostruttura IAM?
<a name="troubleshoot_iam-ec2_errors-info-doc"></a>

### Il documento `iam/info` indica `"Code":"InstanceProfileNotFound"`
<a name="troubleshoot_iam-ec2_errors-info-doc-profile-not-found"></a>

Il profilo dell'istanza IAM è stato eliminato e Amazon EC2 non è più in grado di fornire le credenziali all'istanza. È necessario collegare un profilo dell'istanza valido all'istanza Amazon EC2.

Se esiste un profilo dell'istanza con il nome specificato, controllare che tale profilo non sia stato eliminato e che ne sia stato creato un altro con lo stesso nome:

1. Chiama l'operazione `GetInstanceProfile` IAM per ottenere `InstanceProfileId`.

1. Chiama l'operazione `DescribeInstances` di Amazon EC2 per ottenere il valore `IamInstanceProfileId` per l'istanza.

1. Verifica che il `InstanceProfileId` ottenuto dall'operazione IAM corrisponda al `IamInstanceProfileId` ottenuto dall'operazione Amazon EC2.

Se IDs sono diversi, il profilo di istanza associato alle istanze non è più valido. È necessario collegare un profilo dell'istanza valido all'istanza. 

### Il documento `iam/info` indica un esito positivo, ma indica anche `"Message":"Instance Profile does not contain a role..."`
<a name="troubleshoot_iam-ec2_errors-info-doc-no-role"></a>

Il ruolo è stato rimosso dal profilo dell'istanza dall'operazione `RemoveRoleFromInstanceProfile` IAM. È possibile utilizzare l'operazione `AddRoleToInstanceProfile` IAM per collegare un ruolo al profilo dell'istanza. L'applicazione dovrà attendere il successivo aggiornamento pianificato per accedere alle credenziali del ruolo. 

Per forzare la modifica, devi [dissociare il profilo dell'istanza](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DisassociateIamInstanceProfile.html) e quindi [associare il profilo dell'istanza](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AssociateIamInstanceProfile.html) oppure arrestare l'istanza e riavviarla.

### Il documento `iam/security-credentials/[role-name]` indica `"Code":"AssumeRoleUnauthorizedAccess"`
<a name="troubleshoot_iam-ec2_errors-info-doc-unauthorized-access"></a>

Amazon EC2 non dispone dell'autorizzazione per assumere il ruolo. L'autorizzazione ad assumere il ruolo è determinata dalla policy di affidabilità collegata al ruolo, come nell'esempio che segue. Utilizza l'API `UpdateAssumeRolePolicy` IAM per aggiornare la policy di attendibilità. 

------
#### [ JSON ]

****  

```
{"Version":"2012-10-17",		 	 	 "Statement": [{"Effect": "Allow","Principal": {"Service": ["ec2.amazonaws.com"]},"Action": ["sts:AssumeRole"]}]}
```

------

L'applicazione dovrà attendere il successivo aggiornamento pianificato automaticamente per accedere alle credenziali del ruolo.

Per forzare la modifica, devi [dissociare il profilo dell'istanza](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DisassociateIamInstanceProfile.html) e quindi [associare il profilo dell'istanza](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AssociateIamInstanceProfile.html) oppure arrestare l'istanza e riavviarla.

# Risoluzione dei problemi relativi a IAM ed Amazon S3
<a name="troubleshoot_iam-s3"></a>

Utilizza le informazioni contenute in questa pagina per eseguire la diagnosi e risolvere i problemi che possono verificarsi durante l'utilizzo di Amazon S3 e IAM.

## Come posso concedere l'accesso anonimo a un bucket Amazon S3?
<a name="troubleshoot_iam-s3_anonymous-bucket-access"></a>

È possibile utilizzare una policy del bucket Amazon S3 che specifica un carattere jolly (\$1) nell'elemento `principal`, il che significa che chiunque è in grado di accedere al bucket. Con l'accesso anonimo, chiunque (compresi gli utenti senza un Account AWS) potrà accedere al bucket. Per una policy di esempio, consulta [Esempi di policy di bucket Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/AccessPolicyLanguage_UseCases_s3_a.html) nella *Guida per l'utente di Amazon Simple Storage Service*.

## Ho effettuato l'accesso come utente Account AWS root. Perché non riesco ad accedere a un bucket Amazon S3 con il mio account?
<a name="troubleshoot_iam-s3_root-bucket-access"></a>

In alcuni casi, è possibile avere un utente IAM con accesso completo a IAM e Amazon S3. Se l'utente IAM assegna una policy del bucket a un bucket Amazon S3 e non specifica l'utente root come principale, all'utente root verrà negato l'accesso al bucket. Tuttavia, come utente root, puoi comunque accedere al bucket. A tale scopo, modifica la policy del bucket per consentire l'accesso dell'utente root dalla console Amazon S3 o la AWS CLI. Usa il seguente principio, sostituendolo *123456789012* con l'ID di Account AWS.

```
"Principal": { "AWS": "arn:aws:iam::123456789012:root" }
```

# Risoluzione dei problemi di federazione SAML con IAM
<a name="troubleshoot_saml"></a>

Utilizza le informazioni contenute qui per diagnosticare e risolvere i problemi che puoi incontrare durante l'utilizzo di SAML 2.0 e la federazione con AWS Identity and Access Management.

**Topics**
+ [Errore: La tua richiesta include una risposta SAML non valida. Per disconnetterti, fai clic qui.](#troubleshoot_saml_invalid-response)
+ [Errore: RoleSessionName è richiesto in AuthnResponse (servizio: AWSSecurityTokenService; codice di stato: 400; codice di errore: InvalidIdentityToken)](#troubleshoot_saml_missing-rolesessionname)
+ [Errore: non autorizzato a eseguire sts: AssumeRoleWith SAML (service: AWSSecurityTokenService; codice di stato: 403; codice di errore:) AccessDenied](#troubleshoot_saml_missing-role)
+ [Errore: RoleSessionName in AuthnResponse deve corrispondere a [a-zA-Z\$10-9\$1=, .@-] \$12,64\$1 (service:; codice di stato: 400; codice di errore:) AWSSecurity TokenService InvalidIdentityToken](#troubleshoot_saml_invalid-rolesessionname)
+ [Errore: l'identità di origine deve corrispondere a [a-zA-Z\$10-9\$1=, .@-] \$12,64\$1 e non iniziare con `"aws:"` (service:; codice di stato: 400; codice di errore:) AWSSecurity TokenService InvalidIdentityToken](#troubleshoot_saml_invalid-sourceidentity)
+ [Errore: firma di risposta non valida (servizio:; codice di stato: 400; codice di errore:) AWSSecurity TokenService InvalidIdentityToken](#troubleshoot_saml_invalid-metadata)
+ [Errore: chiave privata non valida.](#troubleshoot_saml_invalid-private-key)
+ [Errore: impossibile rimuovere la chiave privata.](#troubleshoot_saml_invalid-remove-key)
+ [Errore: impossibile rimuovere la chiave privata perché l'ID della chiave non corrisponde a una chiave privata.](#troubleshoot_saml_invalid-remove-key-mismatch)
+ [Errore: Impossibile assumere il ruolo: Emittente non presente nel provider specificato (servizio: AWSOpenIdDiscoveryService; codice di stato: 400; codice di errore:) AuthSamlInvalidSamlResponseException](#troubleshoot_saml_issuer-mismatch)
+ [Errore: Impossibile analizzare i metadati.](#troubleshoot_saml_issuer-metadata)
+ [Errore: impossibile aggiornare i provider di identità. Non è stato definito alcun aggiornamento per i metadati o l'asserzione di crittografia.](#troubleshoot_saml_unable-to-update)
+ [Errore: impossibile impostare la modalità di crittografia delle asserzioni su Richiesta perché non è stata fornita alcuna chiave privata.](#troubleshoot_saml_issuer-private-key-required)
+ [Errore: impossibile aggiungere e rimuovere chiavi private nella stessa richiesta. Imposta un valore solo per uno dei due parametri.](#troubleshoot_saml_add-remove-keys)
+ [Errore: Il provider specificato non esiste.](#troubleshoot_saml_provider-doesnotexist)
+ [Errore: la richiesta DurationSeconds supera quella MaxSessionDuration impostata per questo ruolo.](#troubleshoot_saml_duration-exceeds)
+ [Errore: è stato raggiunto il limite di 2 per la chiave privata.](#troubleshoot_saml_private-key-exceeds)
+ [Errore: la risposta non contiene il pubblico richiesto.](#troubleshoot_saml_required-audience)

## Errore: La tua richiesta include una risposta SAML non valida. Per disconnetterti, fai clic qui.
<a name="troubleshoot_saml_invalid-response"></a>

Questo errore può accadere quando la risposta SAML dall'identità del fornitore non include un attributo con `Name` impostato su `https://aws.amazon.com/SAML/Attributes/Role` L'attributo deve contenere uno o più elementi `AttributeValue`, ognuno contenente un paio di stringhe separate dalla virgola:
+ L'ARN di un ruolo su cui l'utente può essere mappato
+ L'ARN del fornitore SAML

L’errore può verificarsi anche quando i valori degli attributi SAML inviati dal provider di identità hanno uno spazio bianco iniziale o finale, o altri caratteri non validi nei valori degli attributi SAML. Per ulteriori informazioni sui valori previsti per gli attributi SAML, consulta [Configurare le asserzioni SAML per la risposta di autenticazione](id_roles_providers_create_saml_assertions.md)

Per ulteriori informazioni, consulta [Configurare le asserzioni SAML per la risposta di autenticazione](id_roles_providers_create_saml_assertions.md). Per visualizzare la risposta SAML nel browser, seguire le fasi elencate in [Visualizzare una risposta SAML nel browser](troubleshoot_saml_view-saml-response.md).

## Errore: RoleSessionName è richiesto in AuthnResponse (servizio: AWSSecurityTokenService; codice di stato: 400; codice di errore: InvalidIdentityToken)
<a name="troubleshoot_saml_missing-rolesessionname"></a>

Questo errore può accadere quando la risposta SAML dall'identità del fornitore non include un attributo con `Name` impostato su `https://aws.amazon.com/SAML/Attributes/RoleSessionName` Il valore dell'attributo è un identificatore per l'utente e in genere è un ID utente o un indirizzo e-mail.

Per ulteriori informazioni, consulta [Configurare le asserzioni SAML per la risposta di autenticazione](id_roles_providers_create_saml_assertions.md). Per visualizzare la risposta SAML nel browser, seguire le fasi elencate in [Visualizzare una risposta SAML nel browser](troubleshoot_saml_view-saml-response.md).

## Errore: non autorizzato a eseguire sts: AssumeRoleWith SAML (service: AWSSecurityTokenService; codice di stato: 403; codice di errore:) AccessDenied
<a name="troubleshoot_saml_missing-role"></a>

Questo errore può verificarsi se il ruolo IAM specificato nella risposta SAML è errato o non esiste. Assicurati di utilizzare il nome esatto del ruolo in quanto i nomi prevedono una distinzione tra lettere maiuscole e minuscole. Correggere il nome del ruolo nella configurazione del provider di servizi SAML.

L'accesso è consentito solo se il criterio di attendibilità del ruolo include l'azione `sts:AssumeRoleWithSAML`. Se l'asserzione SAML è configurata per utilizzare l'[attributo `PrincipalTag`](id_roles_providers_create_saml_assertions.md#saml_role-session-tags), i criteri di attendibilità devono includere anche l'azione `sts:TagSession`. Per ulteriori informazioni sui tag di sessione, consultare [Passa i tag di sessione AWS STS](id_session-tags.md).

Questo errore può verificarsi se non disponi delle autorizzazioni `sts:SetSourceIdentity` nella policy di attendibilità del ruolo. Se l'asserzione SAML è configurata per utilizzare l'attributo [`SourceIdentity`](id_roles_providers_create_saml_assertions.md#saml_sourceidentity), le policy di attendibilità devono includere anche l'azione `sts:SetSourceIdentity`. Per ulteriori informazioni sull'identità di origine, consulta [Monitoraggio e controllo delle operazioni intraprese con i ruoli assunti](id_credentials_temp_control-access_monitor.md).

Questo errore può verificarsi anche se un principale federato non ha le autorizzazioni per assumere il ruolo. Il ruolo deve avere una policy di affidabilità che specifica l'ARN del provider d'identità SAML IAM come il `Principal`. Il ruolo contiene anche le condizioni che controllano quali utenti possono assumere il ruolo. Verifica che gli utenti soddisfino i requisiti delle condizioni.

Questo errore può verificarsi anche se la risposta SAML non include un `Subject` contenente un `NameID`.

Per ulteriori informazioni, consultare [Consentire ai principali federati SAML 2.0 di accedere a Console di gestione AWS](id_roles_providers_enable-console-saml.md) e [Configurare le asserzioni SAML per la risposta di autenticazione](id_roles_providers_create_saml_assertions.md). Per visualizzare la risposta SAML nel browser, seguire le fasi elencate in [Visualizzare una risposta SAML nel browser](troubleshoot_saml_view-saml-response.md).

## Errore: RoleSessionName in AuthnResponse deve corrispondere a [a-zA-Z\$10-9\$1=, .@-] \$12,64\$1 (service:; codice di stato: 400; codice di errore:) AWSSecurity TokenService InvalidIdentityToken
<a name="troubleshoot_saml_invalid-rolesessionname"></a>

Questo errore può verificarsi se il valore dell'attributo `RoleSessionName` è troppo lungo o contiene caratteri non validi. La lunghezza massima valida è 64 caratteri;

Per ulteriori informazioni, consulta [Configurare le asserzioni SAML per la risposta di autenticazione](id_roles_providers_create_saml_assertions.md). Per visualizzare la risposta SAML nel browser, seguire le fasi elencate in [Visualizzare una risposta SAML nel browser](troubleshoot_saml_view-saml-response.md).

## Errore: l'identità di origine deve corrispondere a [a-zA-Z\$10-9\$1=, .@-] \$12,64\$1 e non iniziare con `"aws:"` (service:; codice di stato: 400; codice di errore:) AWSSecurity TokenService InvalidIdentityToken
<a name="troubleshoot_saml_invalid-sourceidentity"></a>

Questo errore può verificarsi se il valore dell'attributo `sourceIdentity` è troppo lungo o contiene caratteri non validi. La lunghezza massima valida è 64 caratteri; Per ulteriori informazioni sull'identità di origine, consulta [Monitoraggio e controllo delle operazioni intraprese con i ruoli assunti](id_credentials_temp_control-access_monitor.md).

Per ulteriori informazioni sulla creazione di asserzioni SAML, consulta [Configurare le asserzioni SAML per la risposta di autenticazione](id_roles_providers_create_saml_assertions.md). Per visualizzare la risposta SAML nel browser, seguire le fasi elencate in [Visualizzare una risposta SAML nel browser](troubleshoot_saml_view-saml-response.md).

## Errore: firma di risposta non valida (servizio:; codice di stato: 400; codice di errore:) AWSSecurity TokenService InvalidIdentityToken
<a name="troubleshoot_saml_invalid-metadata"></a>

Questo errore può verificarsi quando i metadati di federazione del provider di identità non soddisfano i metadati del provider di identità IAM. Ad esempio, il file dei metadati per il provider del servizio di identità potrebbe essere cambiato per aggiornare un certificato scaduto. Scaricare il file di metadati SAML aggiornato dal fornitore del servizio di identità. Quindi aggiornalo nell'entità del provider di AWS identità che definisci in IAM con il comando CLI `aws iam update-saml-provider` multipiattaforma o `Update-IAMSAMLProvider` PowerShell il cmdlet.

## Errore: chiave privata non valida.
<a name="troubleshoot_saml_invalid-private-key"></a>

Questo errore può verificarsi se il file della chiave privata non è formattato correttamente. Questo errore può fornire ulteriori dettagli sul motivo per cui la chiave privata non è valida:
+ La chiave è crittografata.
+ Il formato della chiave non è stato riconosciuto. Il file della chiave privata deve essere un file .pem.

Quando entri [Creare un provider di identità SAML in IAM](id_roles_providers_create_saml.md) in Console di gestione AWS, devi scaricare la chiave privata dal tuo provider di identità per fornire a IAM l'abilitazione della crittografia. La chiave privata deve essere un file .pem che utilizza l'algoritmo di crittografia AES-GCM o AES-CBC per decrittografare le asserzioni SAML.

## Errore: impossibile rimuovere la chiave privata.
<a name="troubleshoot_saml_invalid-remove-key"></a>

Questo errore può verificarsi quando la crittografia SAML è impostata su Richiesta e la tua richiesta rimuoverebbe l'unica chiave di decrittografia privata per il provider IAM SAML. Per ulteriori informazioni sulla rotazione delle chiavi private, consulta [Gestire le chiavi di crittografia SAML](id_roles_providers_create_saml.md#id_federation_manage-saml-encryption).

## Errore: impossibile rimuovere la chiave privata perché l'ID della chiave non corrisponde a una chiave privata.
<a name="troubleshoot_saml_invalid-remove-key-mismatch"></a>

Questo errore può verificarsi se il valore `keyId` della chiave privata non corrisponde a nessuno dei due ID chiave dei file di chiave privata del provider di identità.

Quando utilizzi [update-saml-provider](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-saml-provider.html)o [aggiorni](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateSAMLProvider.html) le operazioni SAMLProvider API per rimuovere le chiavi private di crittografia SAML, il valore inserito `RemovePrivateKey` deve essere un ID chiave valido per una chiave privata collegata al tuo provider di identità.

## Errore: Impossibile assumere il ruolo: Emittente non presente nel provider specificato (servizio: AWSOpenIdDiscoveryService; codice di stato: 400; codice di errore:) AuthSamlInvalidSamlResponseException
<a name="troubleshoot_saml_issuer-mismatch"></a>

Questo errore può verificarsi se l'approvatore nella risposta SAML non corrisponde all'approvatore dichiarato nel file dei metadati di federazione Il file di metadati è stato caricato su AWS quando hai creato il provider di identità in IAM.

## Errore: Impossibile analizzare i metadati.
<a name="troubleshoot_saml_issuer-metadata"></a>

Questo errore può verificarsi se il file dei metadati non è formattato correttamente.

Quando [crei o gestisci un provider di identità SAML](id_roles_providers_create_saml.md#idp-manage-identityprovider-console) in Console di gestione AWS, devi recuperare il documento di metadati SAML dal tuo provider di identità.

Questo file di metadati include il nome dell'approvatore, le informazioni sulla scadenza e le chiavi che possono essere utilizzate per convalidare la risposta di autenticazione SAML (asserzioni) ricevute dal provider di identità. Il file di metadati deve essere codificati in formato UTF-8, senza BOM (Byte Order Mark). Per rimuovere il BOM, codifica i file come UTF-8 utilizzando un editor di testi come ad esempio Notepad\$1\$1.

Il certificato x.509 incluso come parte del documento di metadati SAML deve utilizzare una chiave di almeno 1.024 bit. Inoltre, il certificato x.509 deve essere privo di eventuali estensioni ripetute. È possibile utilizzare le estensioni, ma possono essere visualizzate una sola volta nel certificato. Se il certificato x.509 non soddisfa nessuna delle due condizioni, la creazione dell’IdP ha esito negativo e restituisce l’errore “Unable to parse metadata”.

Come definito dal [profilo di interoperabilità dei metadati SAML V2.0 versione 1.0](https://docs.oasis-open.org/security/saml/Post2.0/sstc-metadata-iop-os.html), IAM non valuta né interviene in merito alla scadenza dei certificati X.509 nei documenti dei metadati SAML. Se hai preoccupazioni riguardo ai certificati X.509 scaduti, ti consigliamo di monitorare le date di scadenza dei certificati e di ruotarli in base alle policy di governance e sicurezza della tua organizzazione.

## Errore: impossibile aggiornare i provider di identità. Non è stato definito alcun aggiornamento per i metadati o l'asserzione di crittografia.
<a name="troubleshoot_saml_unable-to-update"></a>

Questo errore può verificarsi se utilizzi le operazioni di `update-saml-provider` CLI o l'API `UpdateSAMLProvider`, ma non fornisci valori di aggiornamento nei parametri della richiesta. Per ulteriori informazioni sull'aggiornamento del provider IAM SAML, consulta [Creare un provider di identità SAML in IAM](id_roles_providers_create_saml.md).

## Errore: impossibile impostare la modalità di crittografia delle asserzioni su Richiesta perché non è stata fornita alcuna chiave privata.
<a name="troubleshoot_saml_issuer-private-key-required"></a>

Questo errore può verificarsi quando non hai precedentemente caricato una chiave di decrittografia privata e provi a impostare la crittografia SAML su Richiesta senza includere una chiave privata nella richiesta.

Assicurati che sia definita una chiave privata per il tuo provider IAM SAML quando utilizzi le operazioni di `create-saml-provider` CLI, l'API `CreateSAMLProvider`, `update-saml-provider` CLI o l'API `UpdateSAMLProvider` per richiedere asserzioni SAML crittografate. 

## Errore: impossibile aggiungere e rimuovere chiavi private nella stessa richiesta. Imposta un valore solo per uno dei due parametri.
<a name="troubleshoot_saml_add-remove-keys"></a>

Questo errore può verificarsi se entrambi i valori di aggiunta e rimozione della chiave privata sono inclusi nella stessa richiesta.

Quando utilizzi [update-saml-provider](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-saml-provider.html)o [aggiorni](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateSAMLProvider.html) le operazioni SAMLProvider API per ruotare i file con chiave privata di crittografia SAML, puoi solo aggiungere o rimuovere una chiave privata nella tua richiesta. Se aggiungi una chiave privata mentre rimuovi una chiave privata, l'operazione non riesce. Per ulteriori informazioni sulla rotazione delle chiavi private, consulta [Gestire le chiavi di crittografia SAML](id_roles_providers_create_saml.md#id_federation_manage-saml-encryption).

## Errore: Il provider specificato non esiste.
<a name="troubleshoot_saml_provider-doesnotexist"></a>

Questo errore può verificarsi se il nome del provider specificato nell'asserzione SAML non corrisponde al nome del provider in IAM. Per ulteriori informazioni sulla visualizzazione del nome del provider, consulta [Creare un provider di identità SAML in IAM](id_roles_providers_create_saml.md).

## Errore: la richiesta DurationSeconds supera quella MaxSessionDuration impostata per questo ruolo.
<a name="troubleshoot_saml_duration-exceeds"></a>

Questo errore può verificarsi se assumi un ruolo dall'API AWS CLI o. 

Quando utilizzi le operazioni dell'API [assume-role-with-saml](https://docs.aws.amazon.com/cli/latest/reference/sts/assume-role-with-saml.html)CLI o [AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) per assumere un ruolo, puoi specificare un valore per il parametro. `DurationSeconds` Puoi specificare un valore da 900 secondi (15 minuti) fino alla durata massima impostata per la sessione per il ruolo. Se si specifica un valore superiore a questa impostazione, l'operazione ha esito negativo. Ad esempio, se si specifica una durata di sessione di 12 ore, ma l'amministratore ha impostato la durata massima di sessione a 6 ore, l'operazione ha esito negativo. Per informazioni su come visualizzare il valore massimo per il ruolo, consulta [Aggiornamento della durata massima della sessione per un ruolo](id_roles_update-role-settings.md#id_roles_update-session-duration).

## Errore: è stato raggiunto il limite di 2 per la chiave privata.
<a name="troubleshoot_saml_private-key-exceeds"></a>

Questo errore può verificarsi se si prova ad aggiungere una chiave privata al proprio provider di identità.

Puoi salvare un massimo di due chiavi private per ogni provider di identità. Quando utilizzi [update-saml-provider](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-saml-provider.html)o [aggiorni](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateSAMLProvider.html) le operazioni SAMLProvider API per aggiungere una terza chiave privata, l'operazione fallisce. 

Rimuovi le chiavi private scadute prima di aggiungere una nuova chiave privata. Per ulteriori informazioni sulla rotazione delle chiavi private, consulta [Gestire le chiavi di crittografia SAML](id_roles_providers_create_saml.md#id_federation_manage-saml-encryption).

## Errore: la risposta non contiene il pubblico richiesto.
<a name="troubleshoot_saml_required-audience"></a>

Questo errore può verificarsi in caso di mancata corrispondenza tra l'URL del pubblico e il provider di identità nella configurazione SAML. Assicurati che l'identificativo del soggetto che si basa sul gestore dell'identità digitale corrisponda esattamente all'URL del pubblico (ID entità) fornito nella configurazione SAML.