Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Identity and Access Management in Amazon Simple Workflow Service
L'accesso ad Amazon SWF richiede credenziali che AWS possono essere utilizzate per autenticare le tue richieste. Queste credenziali devono disporre delle autorizzazioni per accedere alle AWS risorse, ad esempio recuperare i dati degli eventi da altre risorse. AWS Le seguenti sezioni forniscono dettagli su come utilizzare [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) e Amazon SWF per proteggere le risorse controllandone l'accesso.
AWS Identity and Access Management (IAM) è un software Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse Amazon SWF. IAM è uno strumento Servizio AWS che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Controllo degli accessi](#access-control-swf)
+ [Azioni politiche per Amazon SWF](#security_iam_service-with-iam-id-based-policies-actions)
+ [Risorse relative alle policy per Amazon SWF](#security_iam_service-with-iam-id-based-policies-resources)
+ [Chiavi relative alle condizioni delle politiche per Amazon SWF](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [ACLs in Amazon SWF](#security_iam_service-with-iam-acls)
+ [ABAC con Amazon SWF](#security_iam_service-with-iam-tags)
+ [Utilizzo di credenziali temporanee con Amazon SWF](#security_iam_service-with-iam-roles-tempcreds)
+ [Autorizzazioni principali multiservizio per Amazon SWF](#security_iam_service-with-iam-principal-permissions)
+ [Ruoli di servizio per Amazon SWF](#security_iam_service-with-iam-roles-service)
+ [Ruoli collegati ai servizi per Amazon SWF](#security_iam_service-with-iam-roles-service-linked)
+ [Politiche basate sull'identità per Amazon SWF](#security_iam_service-with-iam-id-based-policies)
+ [Politiche basate sulle risorse all'interno di Amazon SWF](#security_iam_service-with-iam-resource-based-policies)
+ [Come funziona Amazon Simple Workflow Service con IAM](security_iam_service-with-iam.md)
+ [Esempi di policy basate sull'identità per Amazon Simple Workflow Service](security_iam_id-based-policy-examples.md)
+ [Principi di base](swf-dev-iam.basic.md)
+ [Politiche IAM di Amazon SWF](swf-dev-iam.policies.md)
+ [Riepilogo delle API](swf-dev-iam.api.md)
+ [Policy basate su tag](tag-based-policies.md)
+ [Endpoint Amazon VPC per Amazon SWF](swf-vpc-endpoints.md)
+ [Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon Simple Workflow Service](security_iam_troubleshoot.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon Simple Workflow Service](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come funziona Amazon Simple Workflow Service con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate sull'identità per Amazon Simple Workflow Service](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*.
### Identità federata
Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
## Controllo degli accessi
Puoi avere credenziali valide per autenticare le tue richieste, ma a meno che tu non disponga delle autorizzazioni non puoi creare o accedere a risorse Amazon SWF. Ad esempio, devi disporre delle autorizzazioni per invocare obiettivi AWS Lambda Amazon Simple Notification Service (Amazon SNS) e Amazon Simple Queue Service (Amazon SQS) associati alle tue regole Amazon SWF.
Le seguenti sezioni descrivono come gestire le autorizzazioni per Amazon SWF. Consigliamo di leggere prima la panoramica.
+ [Principi di base](swf-dev-iam.basic.md)
+ [Politiche IAM di Amazon SWF](swf-dev-iam.policies.md)
+ [Scrittura di politiche per Amazon SWF](swf-dev-iam.policies.md#swf-dev-iam.policies.examples)
## Azioni politiche per Amazon SWF
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Per visualizzare un elenco di azioni Amazon SWF, consulta [Resources Defined by Amazon Simple Workflow Service nel Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsimpleworkflowservice.html#amazonsimpleworkflowservice-resources-for-iam-policies) *Authorization* Reference.
Le azioni politiche in Amazon SWF utilizzano il seguente prefisso prima dell'azione:
```
swf
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"swf:action1",
"swf:action2"
]
```
Per visualizzare esempi di politiche basate sull'identità di Amazon SWF, consulta. [Esempi di policy basate sull'identità per Amazon Simple Workflow Service](security_iam_id-based-policy-examples.md)
## Risorse relative alle policy per Amazon SWF
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Per visualizzare un elenco dei tipi di risorse Amazon SWF e relativi ARNs, consulta [Actions Defined by Amazon Simple Workflow Service nel Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsimpleworkflowservice.html#amazonsimpleworkflowservice-actions-as-permissions) *Authorization* Reference. Per sapere con quali azioni puoi specificare l'ARN di ogni risorsa, consulta [Resources Defined by Amazon Simple Workflow Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsimpleworkflowservice.html#amazonsimpleworkflowservice-resources-for-iam-policies).
Per visualizzare esempi di politiche basate sull'identità di Amazon SWF, consulta. [Esempi di policy basate sull'identità per Amazon Simple Workflow Service](security_iam_id-based-policy-examples.md)
## Chiavi relative alle condizioni delle politiche per Amazon SWF
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Per visualizzare un elenco di chiavi di condizione di Amazon SWF, consulta Condition Keys for [Amazon Simple Workflow Service nel Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsimpleworkflowservice.html#amazonsimpleworkflowservice-policy-keys) *Authorization* Reference. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, consulta [Resources Defined by Amazon Simple Workflow Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsimpleworkflowservice.html#amazonsimpleworkflowservice-resources-for-iam-policies).
Per visualizzare esempi di politiche basate sull'identità di Amazon SWF, consulta. [Esempi di policy basate sull'identità per Amazon Simple Workflow Service](security_iam_id-based-policy-examples.md)
## ACLs in Amazon SWF
**Supporti ACLs: no**
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## ABAC con Amazon SWF
**Supporta ABAC (tag nelle policy):** parzialmente
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi, chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
## Utilizzo di credenziali temporanee con Amazon SWF
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono un accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Autorizzazioni principali multiservizio per Amazon SWF
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso diretto (FAS) utilizzano le autorizzazioni del principale che chiama an Servizio AWS, combinate con la richiesta di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli di servizio per Amazon SWF
**Supporta i ruoli di servizio:** sì
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio potrebbe interrompere la funzionalità di Amazon SWF. Modifica i ruoli di servizio solo quando Amazon SWF fornisce indicazioni in tal senso.
## Ruoli collegati ai servizi per Amazon SWF
**Supporta i ruoli collegati ai servizi:** no
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati in Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per ulteriori informazioni su come creare e gestire i ruoli collegati ai servizi, consulta [Servizi AWS supportati da IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova un servizio nella tabella che include un `Yes` nella colonna **Service-linked role (Ruolo collegato ai servizi)**. Scegli il collegamento **Sì** per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
## Politiche basate sull'identità per Amazon SWF
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
### Esempi di policy basate sull'identità per Amazon SWF
Per visualizzare esempi di politiche basate sull'identità di Amazon SWF, consulta. [Esempi di policy basate sull'identità per Amazon Simple Workflow Service](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse all'interno di Amazon SWF
**Supporta le policy basate su risorse:** no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
# Come funziona Amazon Simple Workflow Service con IAM
Prima di utilizzare IAM per gestire l'accesso ad Amazon SWF, scopri quali funzionalità IAM sono disponibili per l'uso con Amazon SWF.
**Funzionalità IAM che puoi utilizzare con Amazon Simple Workflow Service**
| Funzionalità IAM | Supporto per Amazon SWF |
| --- | --- |
| [Policy basate sull’identità](swf-dev-iam.md#security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](swf-dev-iam.md#security_iam_service-with-iam-resource-based-policies) | No |
| [Operazioni di policy](swf-dev-iam.md#security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](swf-dev-iam.md#security_iam_service-with-iam-id-based-policies-resources) | Sì |
| [Chiavi di condizione della policy (specifica del servizio)](swf-dev-iam.md#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sì |
| [ACLs](swf-dev-iam.md#security_iam_service-with-iam-acls) | No |
| [ABAC (tag nelle policy)](swf-dev-iam.md#security_iam_service-with-iam-tags) | Parziale |
| [Credenziali temporanee](swf-dev-iam.md#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Autorizzazioni del principale](swf-dev-iam.md#security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio](swf-dev-iam.md#security_iam_service-with-iam-roles-service) | Sì |
| [Ruoli collegati al servizio](swf-dev-iam.md#security_iam_service-with-iam-roles-service-linked) | No |
Per avere una visione di alto livello di come Amazon SWF e AWS altri servizi funzionano con la maggior parte delle funzionalità IAM, [AWS consulta i servizi che funzionano con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) IAM nella IAM User *Guide*.
# Esempi di policy basate sull'identità per Amazon Simple Workflow Service
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse Amazon SWF. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per informazioni dettagliate sulle azioni e sui tipi di risorse definiti da Amazon SWF, incluso il formato di ARNs per ogni tipo di risorsa, consulta [Actions, Resources and Condition Keys for Amazon Simple Workflow Service nel Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsimpleworkflowservice.html) *Authorization* Reference.
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console Amazon SWF](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare risorse Amazon SWF nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le politiche AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console Amazon SWF
Per accedere alla console di Amazon Simple Workflow Service, devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse Amazon SWF presenti nel tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l'API. AWS Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Per garantire che utenti e ruoli possano continuare a utilizzare la console Amazon SWF, collega anche Amazon `ConsoleAccess` SWF `ReadOnly` AWS o la policy gestita alle entità. Per maggiori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente di IAM*.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Principi di base
Il controllo degli accessi di Amazon SWF si basa principalmente su due tipi di autorizzazioni:
+ Autorizzazioni per le risorse: a quali risorse Amazon SWF può accedere un utente.
Puoi esprimere autorizzazioni a livello di risorsa solo per i domini.
+ Autorizzazioni API: quali azioni Amazon SWF può richiamare un utente.
L'approccio più semplice consiste nel concedere l'accesso completo all'account, richiamando qualsiasi azione Amazon SWF in qualsiasi dominio, o negare completamente l'accesso. Tuttavia, IAM supporta un approccio più granulare al controllo degli accessi che è spesso più utile. È ad esempio possibile:
+ Consenti a un utente di eseguire qualsiasi azione Amazon SWF senza restrizioni, ma solo in un dominio specifico. Potresti utilizzare tale policy per consentire alle applicazioni di flusso di lavoro in fase di sviluppo di utilizzare qualsiasi operazione, ma soltanto in un dominio "sandbox".
+ Consentire a un utente di accedere a qualsiasi dominio, ma limitando il modo in cui utilizza l'API. Potresti utilizzare tale policy per consentire a un'applicazione "revisore" di chiamare l'API in qualsiasi dominio, ma concedendo unicamente l'accesso in lettura.
+ Consentire a un utente di chiamare soltanto un set limitato di operazioni in determinati domini. Potresti utilizzare tale policy per consentire a un starter di flusso di lavoro di chiamare unicamente l'operazione `StartWorkflowExecution` in un determinato dominio.
Il controllo degli accessi di Amazon SWF si basa sui seguenti principi:
+ Le decisioni sul controllo degli accessi si basano solo sulle politiche IAM; tutte le verifiche e le manipolazioni delle politiche vengono eseguite tramite IAM.
+ Il modello di controllo degli accessi utilizza una deny-by-default policy; qualsiasi accesso non esplicitamente consentito viene negato.
+ Puoi controllare l'accesso alle risorse Amazon SWF associando politiche IAM appropriate agli attori del flusso di lavoro.
+ Le autorizzazioni a livello di risorsa possono essere espresse solo per i domini.
+ Puoi limitare ulteriormente l'utilizzo di alcune operazioni applicando condizioni a uno o più parametri.
+ Se concedi l'autorizzazione all'uso [RespondDecisionTaskCompleted](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_RespondDecisionTaskCompleted.html), puoi esprimere le autorizzazioni per l'elenco delle decisioni incluse in quell'azione.
Ogni decisione comporta uno o più parametri, come una chiamata API standard. Affinché le policy siano le più chiare possibili, puoi esprimere delle autorizzazioni a livello delle decisioni come se fossero chiamate API effettive, inclusa l'applicazione di condizioni a certi parametri. Questi tipi di autorizzazioni sono denominati autorizzazioni *pseudo API*.
Per un riepilogo dei parametri dell'API classica e della pseudo API che possono essere limitati utilizzando le condizioni, consulta [Riepilogo delle API](swf-dev-iam.api.md).
# Politiche IAM di Amazon SWF
Una policy IAM contiene uno o più `Statement` elementi, ognuno dei quali contiene un set di elementi che definiscono la policy. Per un elenco completo degli elementi e una discussione generale su come costruire le politiche, vedi [The Access Policy Language](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage.html). Il controllo degli accessi di Amazon SWF si basa sui seguenti elementi:
Effetto
(Obbligatorio) L'effetto dell'istruzione: `deny` o `allow`.
È necessario consentire esplicitamente l'accesso; IAM nega l'accesso per impostazione predefinita.
Risorsa
(Obbligatoria) La risorsa, un'entità in un AWS servizio con cui un utente può interagire, a cui si applica l'istruzione.
Puoi esprimere autorizzazioni a livello di risorsa solo per i domini. Ad esempio, una policy può consentire l'accesso soltanto a determinati domini nel tuo account. Per esprimere le autorizzazioni per un dominio, imposta `Resource` l'Amazon Resource Name (ARN) del dominio, che ha il formato «*Region*arn:aws:swf::: /domain/». *AccountID* *DomainName* *Region*è la AWS regione, è l'ID dell'account senza *AccountID* trattini ed è il nome di dominio. *DomainName*
Azione
(Obbligatorio) L'azione a cui si applica l'istruzione, a cui si fa riferimento utilizzando il seguente formato:*serviceId*:*action*. Per Amazon SWF, imposta su*serviceID*. `swf` Ad esempio, `swf:StartWorkflowExecution` si riferisce all'[StartWorkflowExecution](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_StartWorkflowExecution.html)azione e viene utilizzato per controllare quali utenti sono autorizzati ad avviare flussi di lavoro.
Se concedi l'autorizzazione all'uso [RespondDecisionTaskCompleted](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_RespondDecisionTaskCompleted.html), puoi anche controllare l'accesso all'elenco di decisioni incluso utilizzando `Action` to express le autorizzazioni per la pseudo API. Poiché IAM nega l'accesso per impostazione predefinita, la decisione di chi decide deve essere esplicitamente consentita o non verrà accettata. Puoi utilizzare un valore `*` per consentire tutte le decisioni.
Condizione
(Facoltativo) Esprime un vincolo su uno o più parametri di un'operazione che limita i valori consentiti.
Le azioni di Amazon SWF hanno spesso un ambito ampio, che puoi ridurre utilizzando le condizioni IAM. Ad esempio, per limitare gli elenchi di attività a cui l'[PollForActivityTask](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_PollForActivityTask.html)azione può accedere, includi a `Condition` e utilizza la `swf:taskList.name` chiave per specificare gli elenchi consentiti.
Puoi esprimere vincoli per le entità elencate di seguito.
+ Il tipo di flusso di lavoro. Il nome e la versione hanno chiavi distinte.
+ Il tipo di attività. Il nome e la versione hanno chiavi distinte.
+ Elenchi di task.
+ Tags. Puoi specificare più tag per alcune operazioni. In tal caso, ogni tag ha una chiave distinta.
Per Amazon SWF, i valori sono tutte stringhe, quindi è possibile vincolare un parametro utilizzando un operatore di stringa come`StringEquals`, che limita il parametro a una stringa specificata. Tuttavia, con gli operatori di confronto di tipo stringa standard come `StringEquals` tutte le richieste devono includere il parametro. Se non includi il parametro in modo esplicito e non esiste alcun valore di default, come l'elenco di task di default specificato durante la registrazione del tipo, l'accesso verrà negato.
È spesso utile considerare le condizioni come facoltative, di modo che sia possibile chiamare un'operazione senza necessariamente includere il parametro associato. Ad esempio, potresti voler consentire a un decisore di specificare un insieme di [RespondDecisionTaskCompleted](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_RespondDecisionTaskCompleted.html)decisioni, ma anche consentirgli di specificarne solo una per ogni chiamata particolare. In tal caso, applichi un vincolo ai parametri appropriati utilizzando un operatore `StringEqualsIfExists`, che consente l'accesso se il parametro soddisfa la condizione, ma che non lo nega se il parametro è assente.
Per un elenco completo dei parametri a cui è possibile applicare un vincolo e delle chiavi associate, consulta [Riepilogo delle API](swf-dev-iam.api.md).
La sezione seguente fornisce esempi di come creare policy di Amazon SWF. Per informazioni dettagliate, consulta la sezione relativa alle [condizioni di stringa](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#AccessPolicyLanguage_ConditionType).
## Scrittura di politiche per Amazon SWF
Un flusso di lavoro è composto da più *attori*: attività, decisori e così via. Puoi controllare l'accesso per ogni attore allegando una policy IAM appropriata.
Con la seguente azione, all'attore verrà concesso l'accesso completo all'account in tutte le regioni:
+ **Operazione:** `swf:*`
+ **Risorsa:** `arn:aws:swf:*:123456789012:/domain/*`
Puoi utilizzare i caratteri jolly per rappresentare più risorse, operazioni o regioni con un singolo valore.
+ **Il primo carattere jolly (`*`) nel `Resource` valore indica che le autorizzazioni delle risorse si applicano a tutte le regioni.**
Per limitare le autorizzazioni a una singola regione, sostituisci il carattere jolly con la stringa di regione appropriata, ad esempio us-east-1.
+ Il secondo carattere jolly (`*`) nel valore `Resource` consente all'attore di accedere a qualsiasi dominio dell'account nelle regioni specificate.
+ Il carattere jolly (`*`) nel `Action` valore consente all'attore di richiamare qualsiasi azione Amazon SWF.
Per informazioni dettagliate su come utilizzare i caratteri jolly, consulta la sezione relativa alle [descrizioni degli elementi](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html).
### Autorizzazioni di dominio
Per limitare i flussi di lavoro di un reparto a un determinato dominio, puoi concedere un'autorizzazione che consenta a un attore di eseguire qualsiasi azione, ma solo per un reparto specifico.
Per concedere a un attore l'accesso a più di un dominio, esprimi l'autorizzazione per ogni dominio sotto forma di un elenco di dichiarazioni:
+ **Operazione:** `swf:*`
+ **Risorsa:** `arn:aws:swf:*:123456789012:/domain/department1`
+ **Risorsa:** `arn:aws:swf:*:123456789012:/domain/department2`
Puoi consentire a un attore di utilizzare qualsiasi azione Amazon SWF nei domini `department1` and`department2`. A volte, puoi anche utilizzare i caratteri jolly per rappresentare più domini.
### Vincoli e autorizzazioni dell'API
Puoi controllare **le azioni** che un attore può utilizzare specificando l'azione nell'elemento. `Action`
Con l'azione seguente, un attore può chiamare solo `StartWorkflowExecution` per avviare flussi di lavoro. Non può utilizzare altre azioni.
+ **Operazione:** `swf:StartWorkflowExecution`
**Condizioni**
Facoltativamente, puoi limitare i valori dei parametri consentiti dell'azione utilizzando un elemento. `Condition`
Per limitare i flussi di lavoro che un attore può avviare, vincola uno o più valori dei `StartWorkflowExecution` parametri nel modo seguente:
```
"Condition" : {
"StringEquals" : {
"swf:workflowType.name" : "workflow1",
"swf:workflowType.version" : "version2"
}
}
```
Un attore con i vincoli precedenti può eseguire solo `version2` di `workflow1` ed entrambi i parametri devono essere inclusi nella richiesta.
Puoi applicare un vincolo a un parametro senza che questo sia incluso in una richiesta utilizzando un operatore `StringEqualsIfExists`, come illustrato di seguito:
```
"Condition" : {
"StringEqualsIfExists" : { "swf:taskList.name" : "task_list_name" }
}
```
Un attore con la politica precedente può facoltativamente specificare un elenco di attività quando avvia l'esecuzione di un flusso di lavoro.
Puoi applicare un vincolo a un elenco di tag per alcune operazioni. Ogni tag ha una chiave separata, che puoi usare `swf:tagList.member.0` per vincolare il primo tag dell'elenco, `swf:tagList.member.1` per vincolare il secondo tag dell'elenco e così via, fino a un massimo di 5.
Devi stare attento a come vincoli gli elenchi di tag. Ad esempio, la seguente condizione ***non*** è consigliata.
La seguente condizione **non** è consigliata perché consente di specificare facoltativamente una delle due `some_ok_tag` o`another_ok_tag`. Tuttavia, la Condizione limita solo il **primo elemento dell'elenco** dei tag. L'elenco potrebbe contenere elementi aggiuntivi con valori arbitrari, tutti consentiti perché la condizione non applica alcuna condizione a `swf:tagList.member.1``swf:tagList.member.2`, e così via.
```
// Example to illustrate an insecure Condition
"Condition" : {
"StringEqualsIfExists" : {
"swf:tagList.member.0" : "some_ok_tag", "another_ok_tag"
}
}
```
Un modo per risolvere il problema precedente consiste nel non consentire l'uso di elenchi di tag.
La policy seguente autorizza soltanto `some_ok_tag` o `another_ok_tag` in quanto impone la presenza di un solo elemento nell'elenco.
```
"Condition" : {
"StringEqualsIfExists" : {
"swf:tagList.member.0" : "some_ok_tag", "another_ok_tag"
},
"Null" : { "swf:tagList.member.1" : "true" }
}
```
### Vincoli e autorizzazioni della pseudo API
Per limitare le decisioni disponibili`RespondDecisionTaskCompleted`, devi prima consentire all'attore di chiamare`RespondDecisionTaskCompleted`. Quindi esprimete le autorizzazioni per i membri della pseudo API appropriati utilizzando la stessa sintassi dell'API normale, come segue:
+ **Dichiarazione 1**
**Risorsa:** `arn:aws:swf:*:123456789012:/domain/*`
**Operazione:** `swf:RespondDecisionTaskCompleted`
+ **Dichiarazione 2**
**Risorsa:** `*`
**Operazione:** `swf:ScheduleActivityTask`
**Condizione**: ` "StringEquals" : { "swf:activityType.name" : "SomeActivityType" }`
La prima `Statement` consente all'attore di chiamare`RespondDecisionTaskCompleted`. La seconda dichiarazione consente all'attore di utilizzare la `ScheduleActivityTask` decisione di indirizzare Amazon SWF a pianificare un'attività. Per consentire tutte le decisioni, sostituisci «swf:ScheduleActivityTask" con «swf: \$1».
Per applicare un vincolo ai parametri, puoi utilizzare gli operatori di condizione, esattamente come con l'API classica. L'`StringEquals`operatore dell'esempio precedente `Condition` consente di `RespondDecisionTaskCompleted` pianificare un'attività per l'`SomeActivityType`attività e deve pianificare tale attività. Se intendi consentire a `RespondDecisionTaskCompleted` di utilizzare facoltativamente un valore di parametro, puoi invece utilizzare l'operatore `StringEqualsIfExists`.
## AWS politica gestita: SimpleWorkflowFullAccess
È possibile allegare la policy `SimpleWorkflowFullAccess` alle identità IAM.
Questa policy fornisce l'accesso completo al servizio di configurazione Amazon SWF.
## Limitazioni del modello di servizio sulle politiche IAM
È necessario considerare i vincoli del modello di servizio durante la creazione delle policy IAM. È possibile creare una policy IAM sintatticamente valida che rappresenti una richiesta Amazon SWF non valida; una richiesta consentita in termini di controllo degli accessi può comunque fallire perché non è valida.
Ad esempio, il modello di servizio Amazon SWF **non** consente l'utilizzo `tagFilter` dei parametri `typeFilter` and nella stessa `[ListOpenWorkflowExecutions](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_ListOpenWorkflowExecutions.html)` richiesta. La condizione seguente consentirebbe le chiamate che il servizio rifiuterà, `ValidationException` lanciandole, come richieste non valide:
```
"Condition" : {
"StringEquals" : {
"swf:typeFilter.name" : "workflow_name",
"swf:typeFilter.version" : "workflow_version",
"swf:tagFilter.tag" : "some_tag"
}
}
```
# Riepilogo delle API
Questa sezione descrive brevemente come utilizzare le policy IAM per controllare in che modo un attore può utilizzare ciascuna API e pseudo API per accedere alle risorse Amazon SWF.
+ Per tutte le operazioni ad eccezione di `RegisterDomain` e `ListDomains`, puoi consentire o negare l'accesso a tutti o a una parte dei domini di un account esprimendo autorizzazioni per la risorsa di dominio.
+ Puoi consentire o negare l'autorizzazione per qualsiasi membro dell'API classica e, se concedi l'autorizzazione a chiamare `[RespondDecisionTaskCompleted](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_RespondDecisionTaskCompleted.html)`, per qualsiasi membro della pseudo API.
+ Puoi utilizzare una condizione per applicare un vincolo ai valori consentiti di certi parametri.
Le sezioni seguenti elencano i parametri a cui è possibile applicare un vincolo per ogni membro dell'API classica e della pseudo API nonché le chiavi associate. Indicano inoltre le limitazioni relative al modo in cui è possibile controllare l'accesso ai domini.
## API classica
Questa sezione elenca i membri dell'API classica e descrive brevemente i parametri a cui è possibile applicare dei vincoli e le chiavi associate. Indica inoltre le limitazioni relative al modo in cui è possibile controllare l'accesso ai domini.
`[CountClosedWorkflowExecutions](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_CountClosedWorkflowExecutions.html)`
+ `tagFilter.tag`— Vincolo di stringa. La chiave è `swf:tagFilter.tag`.
+ `typeFilter.name`— Vincolo di stringa. La chiave è `swf:typeFilter.name`.
+ `typeFilter.version`— Vincolo di stringa. La chiave è `swf:typeFilter.version`.
**Nota**
`CountClosedWorkflowExecutions` richiede che `typeFilter` e `tagFilter` si escludano a vicenda.
`[CountOpenWorkflowExecutions](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_CountOpenWorkflowExecutions.html)`
+ `tagFilter.tag`— Vincolo di stringa. La chiave è `swf:tagFilter.tag`.
+ `typeFilter.name`— Vincolo di stringa. La chiave è `swf:typeFilter.name`.
+ `typeFilter.version`— Vincolo di stringa. La chiave è `swf:typeFilter.version`.
**Nota**
`CountOpenWorkflowExecutions` richiede che `typeFilter` e `tagFilter` si escludano a vicenda.
`[CountPendingActivityTasks](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_CountPendingActivityTasks.html)`
+ `taskList.name`— Vincolo di stringa. La chiave è `swf:taskList.name`.
`[CountPendingDecisionTasks](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_CountPendingDecisionTasks.html)`
+ `taskList.name`— Vincolo di stringa. La chiave è `swf:taskList.name`.
`[DeleteActivityType](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_DeleteActivityType.html)`
+ `activityType.name`— Vincolo di stringa. La chiave è `swf:activityType.name`.
+ `activityType.version`— Vincolo di stringa. La chiave è `swf:activityType.version`.
`[DeprecateActivityType](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_DeprecateActivityType.html)`
+ `activityType.name`— Vincolo di stringa. La chiave è `swf:activityType.name`.
+ `activityType.version`— Vincolo di stringa. La chiave è `swf:activityType.version`.
`[DeprecateDomain](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_DeprecateDomain.html)`
+ Non puoi applicare un vincolo ai parametri di questa operazione.
`[DeleteWorkflowType](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_DeleteWorkflowType.html)`
+ `workflowType.name`— Vincolo di stringa. La chiave è `swf:workflowType.name`.
+ `workflowType.version`— Vincolo di stringa. La chiave è `swf:workflowType.version`.
`[DeprecateWorkflowType](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_DeprecateWorkflowType.html)`
+ `workflowType.name`— Vincolo di stringa. La chiave è `swf:workflowType.name`.
+ `workflowType.version`— Vincolo di stringa. La chiave è `swf:workflowType.version`.
`[DescribeActivityType](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_DescribeActivityType.html)`
+ `activityType.name`— Vincolo di stringa. La chiave è `swf:activityType.name`.
+ `activityType.version`— Vincolo di stringa. La chiave è `swf:activityType.version`.
`[DescribeDomain](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_DescribeDomain.html)`
+ Non puoi applicare un vincolo ai parametri di questa operazione.
`[DescribeWorkflowExecution](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_DescribeWorkflowExecution.html)`
+ Non puoi applicare un vincolo ai parametri di questa operazione.
`[DescribeWorkflowType](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_DescribeWorkflowType.html)`
+ `workflowType.name`— Vincolo di stringa. La chiave è `swf:workflowType.name`.
+ `workflowType.version`— Vincolo di stringa. La chiave è `swf:workflowType.version`.
`[GetWorkflowExecutionHistory](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_GetWorkflowExecutionHistory.html)`
+ Non puoi applicare un vincolo ai parametri di questa operazione.
`[ListActivityTypes](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_ListActivityTypes.html)`
+ Non puoi applicare un vincolo ai parametri di questa operazione.
`[ListClosedWorkflowExecutions](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_ListClosedWorkflowExecutions.html)`
+ `tagFilter.tag`— Vincolo di stringa. La chiave è `swf:tagFilter.tag`.
+ `typeFilter.name`— Vincolo di stringa. La chiave è `swf:typeFilter.name`.
+ `typeFilter.version`— Vincolo di stringa. La chiave è `swf:typeFilter.version`.
**Nota**
`ListClosedWorkflowExecutions` richiede che `typeFilter` e `tagFilter` si escludano a vicenda.
`[ListDomains](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_ListDomains.html)`
+ Non puoi applicare un vincolo ai parametri di questa operazione.
`[ListOpenWorkflowExecutions](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_ListOpenWorkflowExecutions.html)`
+ `tagFilter.tag`— Vincolo di stringa. La chiave è `swf:tagFilter.tag`.
+ `typeFilter.name`— Vincolo di stringa. La chiave è `swf:typeFilter.name`.
+ `typeFilter.version`— Vincolo di stringa. La chiave è `swf:typeFilter.version`.
**Nota**
`ListOpenWorkflowExecutions` richiede che `typeFilter` e `tagFilter` si escludano a vicenda.
`[ListWorkflowTypes](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_ListWorkflowTypes.html)`
+ Non puoi applicare un vincolo ai parametri di questa operazione.
`[PollForActivityTask](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_PollForActivityTask.html)`
+ `taskList.name`— Vincolo di stringa. La chiave è `swf:taskList.name`.
`[PollForDecisionTask](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_PollForDecisionTask.html)`
+ `taskList.name`— Vincolo di stringa. La chiave è `swf:taskList.name`.
`[RecordActivityTaskHeartbeat](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_RecordActivityTaskHeartbeat.html)`
+ Non puoi applicare un vincolo ai parametri di questa operazione.
`[RegisterActivityType](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_RegisterActivityType.html)`
+ `defaultTaskList.name`— Vincolo di stringa. La chiave è `swf:defaultTaskList.name`.
+ `name`— Vincolo di stringa. La chiave è `swf:name`.
+ `version`— Vincolo di stringa. La chiave è `swf:version`.
`[RegisterDomain](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_RegisterDomain.html)`
+ `name`— Il nome del dominio da registrare è disponibile come risorsa per questa azione.
`[RegisterWorkflowType](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_RegisterWorkflowType.html)`
+ `defaultTaskList.name`— Vincolo di stringa. La chiave è `swf:defaultTaskList.name`.
+ `name`— Vincolo di stringa. La chiave è `swf:name`.
+ `version`— Vincolo di stringa. La chiave è `swf:version`.
`[RequestCancelWorkflowExecution](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_RequestCancelWorkflowExecution.html)`
+ Non puoi applicare un vincolo ai parametri di questa operazione.
`[RespondActivityTaskCanceled](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_RespondActivityTaskCanceled.html)`
+ Non puoi applicare un vincolo ai parametri di questa operazione.
`[RespondActivityTaskCompleted](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_RespondActivityTaskCompleted.html)`
+ Non puoi applicare un vincolo ai parametri di questa operazione.
`[RespondActivityTaskFailed](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_RespondActivityTaskFailed.html)`
+ Non puoi applicare un vincolo ai parametri di questa operazione.
`[RespondDecisionTaskCompleted](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_RespondDecisionTaskCompleted.html)`
+ `decisions.member.N`— Limitato indirettamente tramite pseudo autorizzazioni API. Per informazioni dettagliate, vedi [Pseudo API](#swf-dev-iam.api.pseudo).
`[SignalWorkflowExecution](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_SignalWorkflowExecution.html)`
+ Non puoi applicare un vincolo ai parametri di questa operazione.
`[StartWorkflowExecution](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_StartWorkflowExecution.html)`
+ `tagList.member.0`— Vincolo di stringa. La chiave è `swf:tagList.member.0`.
+ `tagList.member.1`— Vincolo di stringa. La chiave è `swf:tagList.member.1`.
+ `tagList.member.2`— Vincolo di stringa. La chiave è `swf:tagList.member.2`.
+ `tagList.member.3`— Vincolo di stringa. La chiave è `swf:tagList.member.3`.
+ `tagList.member.4`— Vincolo di stringa. La chiave è `swf:tagList.member.4`.
+ `taskList.name`— Vincolo di stringa. La chiave è `swf:taskList.name`.
+ `workflowType.name`— Vincolo di stringa. La chiave è `swf:workflowType.name`.
+ `workflowType.version`— Vincolo di stringa. La chiave è `swf:workflowType.version`.
**Nota**
Non puoi applicare un vincolo a più di cinque tag.
`[TerminateWorkflowExecution](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_TerminateWorkflowExecution.html)`
+ Non puoi applicare un vincolo ai parametri di questa operazione.
## Pseudo API
Questa sezione elenca i membri della pseudo API, che rappresentano le decisioni incluse in `[RespondDecisionTaskCompleted](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_RespondDecisionTaskCompleted.html)`. Se hai concesso l'autorizzazione a utilizzare `RespondDecisionTaskCompleted`, la tua policy può esprimere autorizzazioni per i membri di questa API come avviene con l'API classica. Puoi limitare ulteriormente alcuni membri della pseudo API impostando condizioni su uno o più parametri. Questa sezione elenca i membri della pseudo API e descrive brevemente i parametri a cui è possibile applicare un vincolo nonché le chiavi associate.
**Nota**
Le chiavi `aws:SourceIP`, `aws:UserAgent` e `aws:SecureTransport` non sono disponibili per la pseudo API. Se la policy di sicurezza prevista richiede tali chiavi per controllare l'accesso alla pseudo API, puoi utilizzarle con l'operazione `RespondDecisionTaskCompleted`.
`CancelTimer`
+ Non puoi applicare un vincolo ai parametri di questa operazione.
`CancelWorkflowExecution`
+ Non puoi applicare un vincolo ai parametri di questa operazione.
`CompleteWorkflowExecution`
+ Non puoi applicare un vincolo ai parametri di questa operazione.
`ContinueAsNewWorkflowExecution`
+ `tagList.member.0`— Vincolo di stringa. La chiave è `swf:tagList.member.0`.
+ `tagList.member.1`— Vincolo di stringa. La chiave è `swf:tagList.member.1`.
+ `tagList.member.2`— Vincolo di stringa. La chiave è `swf:tagList.member.2`.
+ `tagList.member.3`— Vincolo di stringa. La chiave è `swf:tagList.member.3`.
+ `tagList.member.4`— Vincolo di stringa. La chiave è `swf:tagList.member.4`.
+ `taskList.name`— Vincolo di stringa. La chiave è `swf:taskList.name`.
+ `workflowTypeVersion`— Vincolo di stringa. La chiave è `swf:workflowTypeVersion`.
**Nota**
Non puoi applicare un vincolo a più di cinque tag.
`FailWorkflowExecution`
+ Non puoi applicare un vincolo ai parametri di questa operazione.
`RecordMarker`
+ Non puoi applicare un vincolo ai parametri di questa operazione.
`RequestCancelActivityTask`
+ Non puoi applicare un vincolo ai parametri di questa operazione.
`RequestCancelExternalWorkflowExecution`
+ Non puoi applicare un vincolo ai parametri di questa operazione.
`ScheduleActivityTask`
+ `activityType.name`— Vincolo di stringa. La chiave è `swf:activityType.name`.
+ `activityType.version`— Vincolo di stringa. La chiave è `swf:activityType.version`.
+ `taskList.name`— Vincolo di stringa. La chiave è `swf:taskList.name`.
`SignalExternalWorkflowExecution`
+ Non puoi applicare un vincolo ai parametri di questa operazione.
`StartChildWorkflowExecution`
+ `tagList.member.0`— Vincolo di stringa. La chiave è `swf:tagList.member.0`.
+ `tagList.member.1`— Vincolo di stringa. La chiave è `swf:tagList.member.1`.
+ `tagList.member.2`— Vincolo di stringa. La chiave è `swf:tagList.member.2`.
+ `tagList.member.3`— Vincolo di stringa. La chiave è `swf:tagList.member.3`.
+ `tagList.member.4`— Vincolo di stringa. La chiave è `swf:tagList.member.4`.
+ `taskList.name`— Vincolo di stringa. La chiave è `swf:taskList.name`.
+ `workflowType.name`— Vincolo di stringa. La chiave è `swf:workflowType.name`.
+ `workflowType.version`— Vincolo di stringa. La chiave è `swf:workflowType.version`.
**Nota**
Non puoi applicare un vincolo a più di cinque tag.
`StartTimer`
+ Non puoi applicare un vincolo ai parametri di questa operazione.
# Policy basate su tag
Amazon SWF supporta politiche basate sui tag. Ad esempio, puoi limitare i domini Amazon SWF che includono un tag con la chiave `environment` e il valore `production` con la seguente condizione:
```
"Condition": {
"StringEquals": {"aws:ResourceTag/environment": "production"}
}
```
Per ulteriori informazioni sui tag, consulta:
+ [Tag in Amazon SWF](swf-dev-adv-tags.md)
+ [Controllo degli accessi tramite tag IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html)
# Endpoint Amazon VPC per Amazon SWF
**Nota**
AWS PrivateLink il supporto è attualmente disponibile solo nelle regioni AWS Top AWS Secret: Est, Regione segreta e Cina.
Se utilizzi Amazon Virtual Private Cloud (Amazon VPC) per ospitare AWS le tue risorse, puoi stabilire una connessione tra i flussi di lavoro di Amazon VPC e Amazon Simple Workflow Service. Puoi utilizzare questa connessione con i tuoi flussi di lavoro Amazon SWF senza dover accedere alla rete Internet pubblica.
Amazon VPC ti consente di avviare AWS risorse in una rete virtuale personalizzata. Puoi utilizzare un VPC per controllare le impostazioni di rete, come l'intervallo di indirizzi IP, le sottoreti, le tabelle di routing e i gateway di rete. Per ulteriori informazioni VPCs, consulta la [Amazon VPC User](https://docs.aws.amazon.com/vpc/latest/userguide/) Guide.
Per connettere Amazon VPC ad Amazon SWF, devi prima definire un endpoint VPC di *interfaccia, che ti permetta di connettere il tuo VPC* ad altri. Servizi AWS L'endpoint offre una connettività scalabile e affidabile senza necessità di disporre di un gateway Internet, un'istanza NAT (Network Address Translation) o una connessione VPN. Per ulteriori informazioni, consulta [Endpoint VPC di interfaccia (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) nella *Guida per l'utente di Amazon VPC*.
## Creazione dell'endpoint
Puoi creare un endpoint Amazon SWF nel tuo VPC utilizzando Console di gestione AWS, the AWS Command Line Interface (AWS CLI), un AWS SDK, l'API Amazon SWF oppure. CloudFormation
Per informazioni sulla creazione e sulla configurazione di un endpoint utilizzando la console Amazon VPC o il AWS CLI, consulta la sezione [Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) nella *Guida per l'utente di Amazon VPC*.
**Nota**
Quando crei un endpoint, specifica Amazon SWF come servizio a cui desideri connettere il tuo VPC. Nella console Amazon VPC, i nomi dei servizi variano in base alla AWS regione. **Ad esempio, nella regione AWS Top Secret - East, il nome del servizio per Amazon SWF è com.amazonaws. us-iso-east-1.swf.**
Per informazioni sulla creazione e configurazione di un endpoint utilizzando CloudFormation, consulta la VPCEndpoint risorsa [AWS:::EC2:](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html) nella *CloudFormation User* Guide.
## Politiche degli endpoint Amazon VPC
Per controllare l'accesso alla connettività ad Amazon SWF, puoi allegare una policy per gli endpoint AWS Identity and Access Management (IAM) durante la creazione di un endpoint Amazon VPC. Puoi creare regole IAM complesse collegando più policy per gli endpoint. Per ulteriori informazioni, consultare:
+ [Policy degli endpoint di Amazon Virtual Private Cloud per Amazon SWF](swf-vpc-iam.md)
+ [Controllo dell'accesso ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)
# Policy degli endpoint di Amazon Virtual Private Cloud per Amazon SWF
Puoi creare una policy di endpoint Amazon VPC per Amazon SWF in cui specifichi quanto segue:
+ Il **principio** che può eseguire azioni.
+ Le azioni che possono essere eseguite.
+ Le risorse in cui è possibile eseguire le operazioni.
L'esempio seguente aggiunge un ruolo IAM specifico a una policy:
```
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/MyRole"
}
```
+ Per ulteriori informazioni sulla creazione di policy per gli endpoint, consulta [Controllo dell'accesso ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html).
+ Per informazioni su come utilizzare IAM per controllare l'accesso alle tue risorse AWS e a quelle di Amazon SWF, consulta. [Identity and Access Management in Amazon Simple Workflow Service](swf-dev-iam.md)
# Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon Simple Workflow Service
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con Amazon SWF e IAM.
**Topics**
+ [Non sono autorizzato a eseguire un'azione in Amazon SWF](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse Amazon SWF](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un'azione in Amazon SWF
Se ricevi un errore che indica che non disponi dell'autorizzazione per eseguire un'operazione, le tue policy devono essere aggiornate in modo che ti sei consentito eseguire tale operazione.
Il seguente esempio di errore si verifica quando l'utente `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia, ma non dispone di autorizzazioni `swf:GetWidget` fittizie.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: swf:GetWidget on resource: my-example-widget
```
In questo caso, la policy deve essere aggiornata in modo che Mateo possa accedere alla risorsa `my-example-widget` mediante l'operazione `swf:GetWidget`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue politiche devono essere aggiornate per consentirti di trasferire un ruolo ad Amazon SWF.
Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio anziché creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in Amazon SWF. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse Amazon SWF
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per consentire alle persone di accedere alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Amazon SWF supporta queste funzionalità, consulta. [Come funziona Amazon Simple Workflow Service con IAM](security_iam_service-with-iam.md)
+ Per sapere come fornire l'accesso alle tue risorse su tutto Account AWS ciò che possiedi, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.