# Identity and Access Management per Wireless AWS IoT
<a name="security-iam"></a>

AWS Identity and Access Management (IAM) è un Servizio AWSche consente agli amministratori di controllare in modo sicuro l'accesso alle risorse AWS. Gli amministratori IAM controllano chi può essere *autenticato* (ha effettuato l'accesso) e *autorizzato* (dispone di autorizzazioni) a utilizzare le risorse Wireless AWS IoT. IAM è un Servizio AWS il cui uso non comporta costi aggiuntivi.

**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell'accesso con policy](#security_iam_access-manage)
+ [Come funziona Wireless AWS IoT con IAM](security_iam_service-with-iam.md)
+ [Esempi di policy basate su identità di Wireless AWS IoT](security_iam_id-based-policy-examples.md)
+ [Policy gestite da AWS per Wireless AWS IoT](security-iam-awsmanpol.md)
+ [Risoluzione dei problemi relativi ad accesso e identità Wireless AWS IoT](security_iam_troubleshoot.md)

## Destinatari
<a name="security_iam_audience"></a>

Le modalità di utilizzo di AWS Identity and Access Management (IAM) cambiano in base alle operazioni eseguite in Wireless AWS IoT.

**Utente del servizio**: se utilizzi il servizio Wireless AWS IoT per eseguire il tuo processo, l'amministratore ti fornisce le credenziali e le autorizzazioni necessarie. All'aumentare del numero di funzionalità Wireless AWS IoT utilizzate per il lavoro, potrebbero essere necessarie ulteriori autorizzazioni. La comprensione della gestione dell'accesso ti consente di richiedere le autorizzazioni corrette all'amministratore. Se non riesci ad accedere a una funzionalità di Wireless AWS IoT, consulta [Risoluzione dei problemi relativi ad accesso e identità Wireless AWS IoT](security_iam_troubleshoot.md).

**Amministratore del servizio**: se sei il responsabile delle risorse di Wireless AWS IoT della tua azienda, probabilmente disponi dell'accesso completo a Wireless AWS IoT. Il tuo compito è determinare le caratteristiche e le risorse Wireless AWS IoT a cui gli utenti del servizio devono accedere. Devi inviare le richieste all'amministratore IAM per cambiare le autorizzazioni degli utenti del servizio. Esamina le informazioni contenute in questa pagina per comprendere i concetti di base relativi a IAM. Per ulteriori informazioni su come la tua azienda può utilizzare IAM con Wireless AWS IoT, consulta [Come funziona Wireless AWS IoT con IAM](security_iam_service-with-iam.md).

**Amministratore IAM**: un amministratore IAM potrebbe essere interessato a ottenere dei dettagli su come scrivere policy per gestire l'accesso a Wireless AWS IoT. Per visualizzare policy basate su identità di Wireless AWS IoT di esempio che puoi utilizzare in IAM, consulta [Esempi di policy basate su identità di Wireless AWS IoT](security_iam_id-based-policy-examples.md).

## Autenticazione con identità
<a name="security_iam_authentication"></a>

L'autenticazione è la procedura di accesso ad AWS con le credenziali di identità. Devi essere *autenticato* (connesso a AWS) come utente root Utente root dell'account AWS, come utente IAM o assumere un ruolo IAM.

Puoi accedere ad AWS come identità federata utilizzando le credenziali fornite attraverso un'origine di identità. Gli utenti AWS IAM Identity Center (Centro identità IAM), l'autenticazione Single Sign-On (SSO) dell'azienda e le credenziali di Google o Facebook sono esempi di identità federate. Se accedi come identità federata, l'amministratore ha configurato in precedenza la federazione delle identità utilizzando i ruoli IAM. Se accedi ad AWS tramite la federazione, assumi indirettamente un ruolo.

A seconda del tipo di utente, puoi accedere alla Console di gestione AWS o al portale di accesso AWS. Per ulteriori informazioni sull'accesso ad AWS, consulta la sezione [Come accedere al tuo Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l'utente di Accedi ad AWS*.

Se accedi ad AWS in modo programmatico, AWS fornisce un Software Development Kit (SDK) e un'interfaccia a riga di comando (CLI) per firmare crittograficamente le richieste utilizzando le tue credenziali. Se non utilizzi gli strumenti AWS, devi firmare le richieste personalmente. Per ulteriori informazioni sulla firma delle richieste, consulta [Firma delle richieste AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-signing.html) nella *Guida per l'utente IAM*.

A prescindere dal metodo di autenticazione utilizzato, potrebbe essere necessario specificare ulteriori informazioni sulla sicurezza. AWS consiglia ad esempio di utilizzare l'autenticazione a più fattori (MFA) per aumentare la sicurezza dell'account. Per ulteriori informazioni, consulta [Autenticazione a più fattori](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-mfa.html) nella *Guida per l'utente di AWS IAM Identity Center* e [Utilizzo dell'autenticazione a più fattori (MFA) in AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) nella *Guida per l'utente di IAM*.

### Utente root di un Account AWS
<a name="security_iam_authentication-rootuser"></a>

 Quando crei un Account AWS, inizi con una singola identità di accesso che ha accesso completo a tutti i Servizi AWS e le risorse nell'account. Tale identità è detta *utente root* Account AWS ed è possibile accedervi con l'indirizzo e-mail e la password utilizzati per creare l'account. Si consiglia vivamente di non utilizzare l'utente root per le attività quotidiane. Conserva le credenziali dell'utente root e utilizzarle per eseguire le operazioni che solo l'utente root può eseguire. Per un elenco completo delle attività che richiedono l'accesso come utente root, consulta la sezione [Attività che richiedono le credenziali dell'utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html) nella *Guida per l'utente di IAM*. 

### Utenti e gruppi IAM
<a name="security_iam_authentication-iamuser"></a>

Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità all'interno del tuo Account AWS che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ove possibile, consigliamo di fare affidamento a credenziali temporanee invece di creare utenti IAM con credenziali a lungo termine come le password e le chiavi di accesso. Tuttavia, per casi d'uso specifici che richiedono credenziali a lungo termine con utenti IAM, si consiglia di ruotare le chiavi di accesso. Per ulteriori informazioni, consulta la pagina [Rotazione periodica delle chiavi di accesso per casi d'uso che richiedono credenziali a lungo termine](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials) nella *Guida per l'utente di IAM*.

Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) è un'identità che specifica un insieme di utenti IAM. Non è possibile eseguire l'accesso come gruppo. È possibile utilizzare gruppi per specificare le autorizzazioni per più utenti alla volta. I gruppi semplificano la gestione delle autorizzazioni per set di utenti di grandi dimensioni. Ad esempio, è possibile avere un gruppo denominato *Amministratori IAM* e concedere a tale gruppo le autorizzazioni per amministrare le risorse IAM.

Gli utenti sono diversi dai ruoli. Un utente è associato in modo univoco a una persona o un'applicazione, mentre un ruolo è destinato a essere assunto da chiunque ne abbia bisogno. Gli utenti dispongono di credenziali a lungo termine permanenti, mentre i ruoli forniscono credenziali temporanee. Per ulteriori informazioni, consulta [Quando creare un utente IAM (invece di un ruolo)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose) nella *Guida per l'utente di IAM*.

### Ruoli IAM
<a name="security_iam_authentication-iamrole"></a>

**Nota**  
Wireless AWS IoT non supporta ruoli di servizio e ruoli collegati al servizio.

Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un'identità all'interno di un Account AWS che dispone di autorizzazioni specifiche. È simile a un utente IAM, ma non è associato a una persona specifica. È possibile assumere temporaneamente un ruolo IAM nella Console di gestione AWS mediante lo [scambio di ruoli](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html). È possibile assumere un ruolo chiamando un'azione AWS CLI o API AWS oppure utilizzando un URL personalizzato. Per ulteriori informazioni sui metodi per l'utilizzo dei ruoli, consulta [Utilizzo di ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html) nella *Guida per l'utente di IAM*.

I ruoli IAM con credenziali temporanee sono utili nelle seguenti situazioni:
+ **Accesso utente federato**: per assegnare le autorizzazioni a una identità federata, è possibile creare un ruolo e definire le autorizzazioni per il ruolo. Quando un'identità federata viene autenticata, l'identità viene associata al ruolo e ottiene le autorizzazioni da esso definite. Per ulteriori informazioni sulla federazione dei ruoli, consulta [ Creazione di un ruolo per un provider di identità di terza parte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) nella *Guida per l'utente di IAM*. Se utilizzi IAM Identity Center, configura un set di autorizzazioni. IAM Identity Center mette in correlazione il set di autorizzazioni con un ruolo in IAM per controllare a cosa possono accedere le identità dopo l'autenticazione. Per ulteriori informazioni sui set di autorizzazioni, consulta [Set di autorizzazioni](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) nella *Guida per l'utente di AWS IAM Identity Center*. 
+ **Autorizzazioni utente IAM temporanee**: un utente IAM o un ruolo può assumere un ruolo IAM per ottenere temporaneamente autorizzazioni diverse per un'attività specifica.
+ **Accesso multi-account**: è possibile utilizzare un ruolo IAM per permettere a un utente (un principale affidabile) con un account diverso di accedere alle risorse nell'account. I ruoli sono lo strumento principale per concedere l'accesso multi-account. Tuttavia, per alcuni dei Servizi AWS, è possibile collegare una policy direttamente a una risorsa (anziché utilizzare un ruolo come proxy). Per informazioni sulle differenze tra ruoli e policy basate su risorse per l'accesso multi-account, consulta [Differenza tra i ruoli IAM e le policy basate su risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) nella *Guida per l'utente di IAM*.
+ **Accesso multi-servizio**: alcuni Servizi AWS utilizzano funzionalità in altri Servizi AWS. Ad esempio, quando effettui una chiamata in un servizio, è comune che tale servizio esegua applicazioni in Amazon EC2 o archivi oggetti in Amazon S3. Un servizio può eseguire questa operazione utilizzando le autorizzazioni dell'entità chiamante, utilizzando un ruolo di servizio o utilizzando un ruolo collegato al servizio. 
  + **Inoltro delle sessioni di accesso (FAS)**: quando si utilizza un utente o un ruolo IAM per eseguire operazioni in AWS, tale utente o ruolo viene considerato un principale. Quando si utilizzano alcuni servizi, è possibile eseguire un'operazione che attiva un'altra azione in un servizio diverso. FAS utilizza le autorizzazioni del principale che effettua la chiamata a un Servizio AWS, combinate con il Servizio AWS richiedente, per effettuare richieste a servizi a valle. Le richieste FAS vengono effettuate solo quando un servizio riceve una richiesta che necessita di interazioni con altri Servizi AWS o risorse per essere portata a termine. In questo caso è necessario disporre delle autorizzazioni per eseguire entrambe le operazioni. Per i dettagli delle policy relative alle richieste FAS, consulta la pagina [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 
  + **Ruolo di servizio**: un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) assunto da un servizio per eseguire operazioni per conto dell'utente. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall'interno di IAM. Per ulteriori informazioni, consulta la sezione [Creazione di un ruolo per delegare le autorizzazioni a un Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l'utente di IAM*. 
  + **Ruolo collegato al servizio**: un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un Servizio AWS. Il servizio può assumere il ruolo per eseguire un'azione per tuo conto. I ruoli collegati ai servizi sono visualizzati nell'account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non modificarle. 
+ **Applicazioni in esecuzione su Amazon EC2**: è possibile utilizzare un ruolo IAM per gestire credenziali temporanee per le applicazioni in esecuzione su un'istanza EC2 che eseguono richieste di AWS CLIo dell'API AWS. Ciò è preferibile all'archiviazione delle chiavi di accesso nell'istanza EC2. Per assegnare un ruolo AWS a un'istanza EC2, affinché sia disponibile per tutte le relative applicazioni, puoi creare un profilo dell'istanza collegato all'istanza. Un profilo dell'istanza contiene il ruolo e consente ai programmi in esecuzione sull'istanza EC2 di ottenere le credenziali temporanee. Per ulteriori informazioni, consulta [Utilizzo di un ruolo IAM per concedere autorizzazioni ad applicazioni in esecuzione su istanze di Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) nella *Guida per l'utente di IAM*. 

Per informazioni sull'utilizzo dei ruoli IAM, consulta [Quando creare un ruolo IAM (invece di un utente)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role) nella *Guida per l'utente di IAM*.

## Gestione dell'accesso con policy
<a name="security_iam_access-manage"></a>

Per controllare l'accesso a AWS è possibile creare policy e collegarle a identità o risorse AWS. Una policy è un oggetto in AWS che, quando associato a un'identità o a una risorsa, ne definisce le autorizzazioni. AWS valuta queste policy quando un principale IAM (utente, utente root o sessione ruolo) effettua una richiesta. Le autorizzazioni nelle policy determinano l'approvazione o il rifiuto della richiesta. La maggior parte delle policy viene archiviata in AWSsotto forma di documenti JSON. Per ulteriori informazioni sulla struttura e sui contenuti dei documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l'utente di IAM*.

Gli amministratori possono utilizzare le policy AWSJSON per specificare l'accesso ai diversi elementi. In altre parole, quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.

Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Per concedere agli utenti l'autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM. Successivamente l'amministratore può aggiungere le policy IAM ai ruoli e gli utenti possono assumere i ruoli.

Le policy IAM definiscono le autorizzazioni relative a un'operazione, a prescindere dal metodo utilizzato per eseguirla. Ad esempio, supponiamo di disporre di una policy che consente l'azione `iam:GetRole`. Un utente con tale policy può ottenere informazioni sul ruolo dalla Console di gestione AWS, la AWS CLI o l'API AWS.

### Policy basate su identità
<a name="security_iam_access-manage-id-based-policies"></a>

Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le azioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Creazione di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l'utente di IAM*.

Le policy basate su identità possono essere ulteriormente classificate come *policy inline* o *policy gestite*. Le policy inline sono incorporate direttamente in un singolo utente, gruppo o ruolo. Le policy gestite sono policy autonome che possono essere collegate a più utenti, gruppi e ruoli in Account AWS. Le policy gestite includono le policy gestite da AWS e le policy gestite dal cliente. Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scelta fra policy gestite e policy inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline) nella *Guida per l'utente di IAM*.

### Policy basate su risorse
<a name="security_iam_access-manage-resource-based-policies"></a>

Le policy basate su risorse sono documenti di policy JSON che è possibile allegare a una risorsa. Gli esempi più comuni di policy basate su risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy dei bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarle per controllare l'accesso a una risorsa specifica. Quando è allegata a una risorsa, una policy definisce le azioni che un principale può eseguire su tale risorsa e a quali condizioni. È necessario [specificare un principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) in una policy basata sulle risorse. I principali possono includere account, utenti, ruoli, utenti federati o Servizi AWS.

Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy gestite da AWS da IAM in una policy basata su risorse.

### Liste di controllo degli accessi (ACL)
<a name="security_iam_access-manage-acl"></a>

Le liste di controllo degli accessi (ACL) controllano quali principali (membri, utenti o ruoli dell'account) hanno le autorizzazioni per accedere a una risorsa. Le ACL sono simili alle policy basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.

Amazon S3, AWS WAF e Amazon VPC sono esempi di servizi che supportano le ACL. Per maggiori informazioni sulle ACL, consulta [Panoramica delle liste di controllo degli accessi (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/dev/acl-overview.html) nella *Guida per gli sviluppatori di Amazon Simple Storage Service*.

### Altri tipi di policy
<a name="security_iam_access-manage-other-policies"></a>

AWS supporta altri tipi di policy meno comuni. Questi tipi di policy possono impostare il numero massimo di autorizzazioni concesse dai tipi di policy più comuni. 
+ **Limiti delle autorizzazioni**: un limite delle autorizzazioni è una funzione avanzata nella quale si imposta il numero massimo di autorizzazioni che una policy basata su identità può concedere a un'entità IAM (utente o ruolo IAM). È possibile impostare un limite delle autorizzazioni per un'entità. Le autorizzazioni risultanti sono l'intersezione delle policy basate su identità dell'entità e i relativi limiti delle autorizzazioni. Le policy basate su risorse che specificano l'utente o il ruolo nel campo `Principal` sono condizionate dal limite delle autorizzazioni. Un rifiuto esplicito in una qualsiasi di queste policy sostituisce l'autorizzazione. Per ulteriori informazioni sui limiti delle autorizzazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l'utente di IAM*.
+ **Policy di controllo dei servizi (SCP)**: le SCP sono policy JSON che specificano il numero massimo di autorizzazioni per un'organizzazione o unità organizzativa (OU) in AWS Organizations. AWS Organizationsè un servizio per il raggruppamento e la gestione centralizzata degli Account AWSmultipli di proprietà dell'azienda. Se abiliti tutte le funzionalità in un'organizzazione, puoi applicare le policy di controllo dei servizi (SCP) a uno o tutti i tuoi account. La SCP limita le autorizzazioni per le entità negli account membri, compreso ogni Utente root dell'account AWS. Per ulteriori informazioni su organizzazioni e policy SCP, consulta la pagina sulle [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html) nella *Guida per l'utente di AWS Organizations*.
+ **Policy di sessione**: le policy di sessione sono policy avanzate che vengono trasmesse come parametro quando si crea in modo programmatico una sessione temporanea per un ruolo o un utente federato. Le autorizzazioni della sessione risultante sono l'intersezione delle policy basate su identità del ruolo o dell'utente e le policy di sessione. Le autorizzazioni possono anche provenire da una policy basata su risorse. Un rifiuto esplicito in una qualsiasi di queste policy sostituisce l'autorizzazione. Per ulteriori informazioni, consulta [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l'utente di IAM*. 

### Più tipi di policy
<a name="security_iam_access-manage-multiple-policies"></a>

Quando più tipi di policy si applicano a una richiesta, le autorizzazioni risultanti sono più complicate da comprendere. Per informazioni su come AWS determina se consentire una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *Guida per l'utente di IAM*.

# Come funziona Wireless AWS IoT con IAM
<a name="security_iam_service-with-iam"></a>

Prima di utilizzare l'IAM per gestire l'accesso a Wireless AWS IoT, è necessario comprendere quali caratteristiche IAM sono disponibili per l'uso con Wireless AWS IoT. Per ottenere un quadro generale del funzionamento di Wireless AWS IoT e altri servizi AWS con IAM, consulta [AWS Services That Work with IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l'utente IAM*.


**Funzionalità IAM che è possibile utilizzare con Wireless AWS IoT**  

| Funzionalità IAM | Supporto di Wireless AWS IoT | 
| --- | --- | 
|  [Policy basate su identità](#security_iam_service-with-iam-id-based-policies)  |   Sì  | 
|  [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies)  |   No   | 
|  [Azioni di policy](#security_iam_service-with-iam-id-based-policies-actions)  |   Sì  | 
|  [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources)  |   Sì  | 
|  [Chiavi di condizione delle policy](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Sì  | 
|  [Liste di controllo degli accessi (ACL)](#security_iam_service-with-iam-acls)  |   No   | 
|  [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags)  |   Sì  | 
|  [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds)  |   Sì  | 
|  [Autorizzazioni del principale](#security_iam_service-with-iam-principal-permissions)  |   Sì  | 
|  ☻[Ruoli di servizio](#security_iam_service-with-iam-roles-service)  |   No   | 
|  [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked)  |   No   | 

**Topics**
+ [Policy basate su identità di Wireless AWS IoT](#security_iam_service-with-iam-id-based-policies)
+ [Policy basate su risorse all'interno di Wireless AWS IoT](#security_iam_service-with-iam-resource-based-policies)
+ [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions)
+ [Risorse di policy](#security_iam_service-with-iam-id-based-policies-resources)
+ [Chiavi di condizione](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Liste di controllo degli accessi (ACL)](#security_iam_service-with-iam-acls)
+ [ABAC con Wireless AWS IoT](#security_iam_service-with-iam-tags)
+ [Utilizzo di credenziali temporanee con Wireless AWS IoT](#security_iam_service-with-iam-roles-tempcreds)
+ [Autorizzazioni del principale tra servizi per Wireless AWS IoT](#security_iam_service-with-iam-principal-permissions)
+ [Ruoli di servizio](#security_iam_service-with-iam-roles-service)
+ [Ruoli collegati ai servizi per l'Wireless AWS IoT](#security_iam_service-with-iam-roles-service-linked)

## Policy basate su identità di Wireless AWS IoT
<a name="security_iam_service-with-iam-id-based-policies"></a>


|  |  | 
| --- |--- |
|  Supporta le policy basate su identità  |   Sì  | 

Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le azioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Creazione di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l'utente di IAM*.

Con le policy basate su identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Non è possibile specificare l'entità principale in una policy basata sull'identità perché si applica all'utente o al ruolo a cui è associato. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l'utente di IAM*.

### Esempi
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



Per visualizzare esempi di policy basate su identità di Wireless AWS IoT, consulta [Esempi di policy basate su identità di Wireless AWS IoT](security_iam_id-based-policy-examples.md).

## Policy basate su risorse all'interno di Wireless AWS IoT
<a name="security_iam_service-with-iam-resource-based-policies"></a>


|  |  | 
| --- |--- |
|  Supporta le policy basate su risorse  |   No   | 

Le policy basate su risorse sono documenti di policy JSON che è possibile allegare a una risorsa. Gli esempi più comuni di policy basate su risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy dei bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarle per controllare l'accesso a una risorsa specifica. Quando è allegata a una risorsa, una policy definisce le azioni che un principale può eseguire su tale risorsa e a quali condizioni. È necessario [specificare un principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) in una policy basata sulle risorse. I principali possono includere account, utenti, ruoli, utenti federati o Servizi AWS.

Per consentire l'accesso multi-account, puoi specificare un intero account o entità IAM in un altro account come principale in una policy basata sulle risorse. L'aggiunta di un principale multi-account a una policy basata sulle risorse rappresenta solo una parte della relazione di trust. Quando l'entità principale e la risorsa si trovano in diversi Account AWS, un amministratore IAM nell'account attendibile deve concedere all'entità principale (utente o ruolo) anche l'autorizzazione per accedere alla risorsa. L'autorizzazione viene concessa collegando all'entità una policy basata sull'identità. Tuttavia, se una policy basata su risorse concede l'accesso a un principale nello stesso account, non sono richieste ulteriori policy basate su identità. Per ulteriori informazioni, consulta [Differenza tra i ruoli IAM e le policy basate su risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) nella *Guida per l'utente di IAM*.

## Operazioni di policy
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>


|  |  | 
| --- |--- |
|  Supporta le azioni di policy  |   Sì  | 

Gli amministratori possono utilizzare le policy JSON AWS per specificare gli accessi ai diversi elementi. Cioè, quale **principale** può eseguire **azioni** su quali **risorse**, e in quali **condizioni**.

L'elemento `Action` di una policy JSON descrive le azioni che è possibile utilizzare per consentire o negare l'accesso a una policy. Le azioni di policy hanno spesso lo stesso nome dell'operazione API AWS. Ci sono alcune eccezioni, ad esempio le *azioni di sola autorizzazione* che non hanno un'operazione API corrispondente. Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono denominate *operazioni dipendenti*.

Includi le operazioni in una policy per concedere le autorizzazioni a eseguire l'operazione associata.

Le operazioni delle policy in Wireless AWS IoT utilizzano il seguente prefisso prima dell'operazione: `iotwireless:`. Ad esempio, per concedere a qualcuno l'autorizzazione a elencare tutti gli oggetti IoT registrati nel proprio account Account AWS con l'API `ListWirelessDevices`, puoi includere l'operazione `iotwireless:ListWirelessDevices` nella relativa policy. Le istruzioni della policy devono includere un elemento `Action` o `NotAction`. Wireless AWS IoT definisce un proprio insieme di operazioni che descrivono le attività che puoi eseguire con quel servizio.

Per specificare più operazioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:

```
"Action": [
      "iotwireless:ListMulticastGroups",
      "iotwireless:ListFuotaTasks"
   ]
```

È possibile specificare più operazioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le operazioni che iniziano con la parola `Get`, includi la seguente operazione:

```
"Action": "iotwireless:Get*"
```



Per un elenco di operazioni di Wireless AWS IoT, consulta [Operazioni definite da Wireless AWS IoT](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotwireless.html#awsiotwireless-actions-as-permissions) nella *Guida per l'utente di IAM*.

## Risorse di policy
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>


|  |  | 
| --- |--- |
|  Supporta le risorse di policy  |   Sì  | 

Gli amministratori possono utilizzare le policy JSON AWS per specificare gli accessi ai diversi elementi. Cioè, quale **principale** può eseguire **operazioni** su quali **risorse**, e in quali **condizioni**.

L'elemento JSON `Resource` della policy specifica l'oggetto o gli oggetti ai quali si applica l'azione. Le istruzioni devono includere un elemento `Resource` o un elemento `NotResource`. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html). Puoi eseguire questa operazione per azioni che supportano un tipo di risorsa specifico, note come *autorizzazioni a livello di risorsa*.

Per le azioni che non supportano le autorizzazioni a livello di risorsa, ad esempio le operazioni di elenco, utilizza un carattere jolly (\$1) per indicare che l'istruzione si applica a tutte le risorse.

```
"Resource": "*"
```



Il servizio Wireless AWS IoT dispone del seguente ARN:

```
arn:${Partition}:iotwireless:${Region}:${Account}:${Resource}/${Resource-id}
```

Per ulteriori informazioni sul formato degli ARN, consulta [Nome della risorsa Amazon (ARN) e spazi dei nomi del servizio AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).

Ad esempio, per specificare la configurazione dell'analizzatore di rete `NAConfig1` nell'istruzione, utilizza il seguente ARN:

```
"Resource": "arn:aws:iotwireless:us-east-1:123456789012:NetworkAnalyzerConfiguration/NAConfig1"
```

Per specificare tutte le attività FUOTA che appartengono a un account specifico, utilizza il carattere jolly (\$1):

```
"Resource": "arn:aws:iotwireless:us-east-1:123456789012:FuotaTask/*"
```

Alcune operazioni Wireless AWS IoT, ad esempio quelle per la creazione di risorse, non possono essere eseguite su una determinata risorsa. In questi casi, è necessario utilizzare il carattere jolly (\$1).

```
"Resource": "*"
```

Molte operazioni API di Wireless AWS IoT coinvolgono più risorse. Ad esempio, `AssociateWirelessDeviceWithThing` associa un dispositivo wireless a un oggetto AWS IoT, quindi un utente IAM deve disporre delle autorizzazioni per utilizzare il dispositivo e un oggetto IoT. Per specificare più risorse in una singola istruzione, separa gli ARN con le virgole. 

```
"Resource": [
      "WirelessDevice",
      "thing"
```

Per un elenco dei tipi di risorsa di Wireless AWS IoT e dei rispettivi ARN, consulta [Resources Defined by AWS IoT Wireless](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotwireless.html#awsiotwireless-resources-for-iam-policies) nella *Guida per l'utente di IAM*. Per informazioni sulle operazioni con cui è possibile specificare l'ARN di ogni risorsa, consulta [Operazioni definite da AWS IoT Wireless](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotwireless.html#awsiotwireless-actions-as-permissions).

## Chiavi di condizione
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>


|  |  | 
| --- |--- |
|  Supporta le chiavi di condizione delle policy specifiche del servizio  |   Sì  | 

Gli amministratori possono utilizzare le policy JSON AWS per specificare gli accessi ai diversi elementi. Cioè, quale **principale** può eseguire **operazioni** su quali **risorse**, e in quali **condizioni**.

L'elemento `Condition` (o *blocco* `Condition`) consente di specificare le condizioni in cui un'istruzione è in vigore. L'elemento `Condition` è facoltativo. Puoi compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. 

Se specifichi più elementi `Condition` in un'istruzione o più chiavi in un singolo elemento `Condition`, questi vengono valutati da AWS utilizzando un'operazione `AND` logica. Se specifichi più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'operazione `OR` logica. Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell'istruzione vengano concesse.

 Puoi anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, puoi autorizzare un utente IAM ad accedere a una risorsa solo se è stata taggata con il relativo nome utente IAM. Per ulteriori informazioni, consulta [Elementi delle policy IAM: variabili e tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) nella *Guida per l'utente di IAM*. 

AWS supporta chiavi di condizione globali e chiavi di condizione specifiche per il servizio. Per visualizzare tutte le chiavi di condizione globali di AWS, consulta [Chiavi di contesto delle condizioni globali di AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) nella *Guida per l'utente di IAM*.

Wireless AWS IoT definisce il proprio set di chiavi di condizione e, inoltre, supporta l'uso di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione globali di AWS, consulta [Chiavi di contesto delle condizioni globali di AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) nella *Guida per l'utente IAM*. Per visualizzare un elenco delle chiavi di condizione di Wireless AWS IoT, consulta [Chiavi di condizione per AWS IoT Wireless](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awskeymanagementservice.html#awskeymanagementservice-policy-keys) nella *Guida per l'utente di IAM*. Per informazioni su operazioni e risorse con cui è possibile utilizzare una chiave di condizione, consulta [Operazioni definite da AWS IoT Wireless](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotwireless.html#awsiotwireless-actions-as-permissions).



## Liste di controllo degli accessi (ACL)
<a name="security_iam_service-with-iam-acls"></a>


|  |  | 
| --- |--- |
|  Supporta le ACL  |   No   | 

Le liste di controllo degli accessi (ACL) controllano quali principali (membri, utenti o ruoli dell'account) hanno le autorizzazioni ad accedere a una risorsa. Le ACL sono simili alle policy basate su risorse, sebbene non utilizzino il formato del documento di policy JSON.

## ABAC con Wireless AWS IoT
<a name="security_iam_service-with-iam-tags"></a>


|  |  | 
| --- |--- |
|  Supporta ABAC (tag nelle policy)  |   Sì  | 

Il controllo dell'accesso basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi. In AWS, tali attributi sono denominati *tag*. È possibile collegare dei tag alle entità IAM (utenti o ruoli) e a numerose risorse AWS. L'assegnazione di tag alle entità e alle risorse è il primo passaggio di ABAC. In seguito, vengono progettate policy ABAC per consentire operazioni quando il tag dell'entità principale corrisponde al tag sulla risorsa a cui si sta provando ad accedere.

La strategia ABAC è utile in ambienti soggetti a una rapida crescita e aiuta in situazioni in cui la gestione delle policy diventa impegnativa.

Per controllare l'accesso basato su tag, fornisci informazioni sui tag nell'[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`o `aws:TagKeys`.

Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Yes (Sì)**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.

Per ulteriori informazioni su ABAC, consulta [Che cos'è ABAC?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l'utente di IAM*. Per visualizzare un tutorial con i passaggi per l'impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l'utente di IAM*.

È possibile associare tag alle risorse di Wireless AWS IoT o passare tag in una richiesta a Wireless AWS IoT. Per controllare l'accesso basato su tag, fornisci informazioni sui tag nell'[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `YOUR-SERVICE-PREFIX:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`. Per ulteriori informazioni sul tagging delle risorse Wireless AWS IoT, consulta [Tagging delle risorse Wireless AWS IoT](tagging-iotwireless.md).

## Utilizzo di credenziali temporanee con Wireless AWS IoT
<a name="security_iam_service-with-iam-roles-tempcreds"></a>


|  |  | 
| --- |--- |
|  Supporta le credenziali temporanee  |   Sì  | 

Alcuni Servizi AWS non funzionano quando si accede utilizzando credenziali temporanee. Per ulteriori informazioni, inclusi i Servizi AWS che funzionano con le credenziali temporanee, consulta [Servizi AWS supportati da IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l'utente IAM*.

Le credenziali temporanee sono utilizzate se si accede alla Console di gestione AWS utilizzando qualsiasi metodo che non sia la combinazione di nome utente e password. Ad esempio, quando accedi ad AWS utilizzando il collegamento Single Sign-On (SSO) della tua azienda, tale processo crea in automatico credenziali temporanee. Le credenziali temporanee vengono create in automatico anche quando accedi alla console come utente e poi cambi ruolo. Per ulteriori informazioni sullo scambio dei ruoli, consulta [Cambio di un ruolo (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) nella *Guida per l'utente di IAM*.

È possibile creare manualmente credenziali temporanee utilizzando la AWS CLIo l'API AWS. È quindi possibile utilizzare tali credenziali temporanee per accedere ad AWS. AWSconsiglia di generare le credenziali temporanee dinamicamente anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza provvisorie in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html).

## Autorizzazioni del principale tra servizi per Wireless AWS IoT
<a name="security_iam_service-with-iam-principal-permissions"></a>


|  |  | 
| --- |--- |
|  Supporta sessioni di accesso diretto (FAS)  |   Sì  | 

 Quando si utilizza un utente o un ruolo IAM per eseguire operazioni in AWS, si viene considerati un principale. Quando si utilizzano alcuni servizi, è possibile eseguire un'azione che attiva un'altra azione in un servizio diverso. FAS utilizza le autorizzazioni del principale che effettua la chiamata a un Servizio AWS, combinate con il Servizio AWS richiedente, per effettuare richieste a servizi a valle. Le richieste FAS vengono effettuate solo quando un servizio riceve una richiesta che necessita di interazioni con altri Servizi AWS o risorse per essere portata a termine. In questo caso è necessario disporre delle autorizzazioni per eseguire entrambe le operazioni. Per i dettagli delle policy relative alle richieste FAS, consulta la pagina [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

## Ruoli di servizio
<a name="security_iam_service-with-iam-roles-service"></a>


|  |  | 
| --- |--- |
|  Supporta i ruoli di servizio  |   No   | 

 Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall'interno di IAM. Per ulteriori informazioni, consulta la sezione [Creazione di un ruolo per delegare le autorizzazioni a un Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l'utente di IAM*. 

## Ruoli collegati ai servizi per l'Wireless AWS IoT
<a name="security_iam_service-with-iam-roles-service-linked"></a>


|  |  | 
| --- |--- |
|  Supporta i ruoli collegati ai servizi  |   No   | 

 Un ruolo collegato ai servizi è un tipo di ruolo di servizio che è collegato a un Servizio AWS. Il servizio può assumere il ruolo per eseguire un'operazione per tuo conto. I ruoli collegati ai servizi sono visualizzati nell'account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non modificarle. 

# Esempi di policy basate su identità di Wireless AWS IoT
<a name="security_iam_id-based-policy-examples"></a>

Per impostazione predefinita, gli utenti e i ruoli IAM non dispongono dell'autorizzazione per creare o modificare risorse Wireless AWS IoT. Inoltre, non sono in grado di eseguire attività utilizzando la Console di gestione AWS, AWS CLI o un'API AWS. Un amministratore IAM deve creare policy IAM che concedono a utenti e ruoli l'autorizzazione per eseguire operazioni API specifiche sulle risorse specificate di cui hanno bisogno. L'amministratore deve quindi allegare queste policy a utenti o IAM che richiedono tali autorizzazioni.

Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy nella scheda JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) nella *Guida per l'utente IAM*.

**Topics**
+ [Best practice delle policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console Wireless AWS IoT](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Autorizzazioni necessarie per eseguire azioni sui dispositivi wireless Wireless AWS IoT](#security_iam_id-based-policy-examples-iot-wireless-resources)

## Best practice delle policy
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Le policy basate su identità determinano se qualcuno può creare, accedere o eliminare risorse Wireless AWS IoT nel tuo account. Queste operazioni possono comportare costi aggiuntivi per l'Account AWS. Quando crei o modifichi policy basate su identità, segui queste linee guida e raccomandazioni:
+ **Nozioni di base sulle policy gestite da AWSe passaggio alle autorizzazioni con privilegio minimo**: per le informazioni di base su come concedere autorizzazioni a utenti e carichi di lavoro, utilizza le *policy gestite da AWS*che concedono le autorizzazioni per molti casi d'uso comuni. Sono disponibili nel tuo Account AWS. Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente di AWSspecifiche per i tuoi casi d'uso. Per ulteriori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l'utente IAM*.
+ **Applica le autorizzazioni con privilegi minimi**: quando imposti le autorizzazioni con le policy IAM, concedi solo le autorizzazioni richieste per eseguire un'attività. Puoi farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegi minimi*. Per ulteriori informazioni sull'utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l'utente di IAM*.
+ **Condizioni d'uso nelle policy IAM per limitare ulteriormente l'accesso**: per limitare l'accesso a operazioni e risorse puoi aggiungere una condizione alle tue policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi inoltre utilizzare le condizioni per concedere l'accesso alle operazioni di servizio, ma solo se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per ulteriori informazioni, consulta la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l'utente di IAM*.
+ **Utilizzo di IAM Access Analyzer per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali**: IAM Access Analyzer convalida le policy nuove ed esistenti in modo che aderiscano alla sintassi della policy IAM (JSON) e alle best practice di IAM. IAM Access Analyzer offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per ulteriori informazioni, consulta [Convalida delle policy per IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l'utente di IAM*.
+ **Richiesta dell'autenticazione a più fattori (MFA)**: se hai uno scenario che richiede utenti IAM o utenti root nel tuo Account AWS, attiva MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungi le condizioni MFA alle policy. Per ulteriori informazioni, consulta [Configurazione dell'accesso alle API protetto con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l'utente di IAM*.

Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente di IAM*.

## Utilizzo della console Wireless AWS IoT
<a name="security_iam_id-based-policy-examples-console"></a>

Per accedere alla console Wireless AWS IoT, è necessario disporre di un set di autorizzazioni minimo. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli relativi alle risorse Wireless AWS IoT nell'account AWS. Se crei una policy basata su identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti e ruoli IAM) associate a tale policy.

Per garantire che tali entità possano ancora utilizzare la console Wireless AWS IoT, collega anche la seguente policy gestita da AWS alle entità. Per ulteriori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l'utente di IAM*:

```
AWSIoTWirelessFullAccess
```

Non sono necessarie le autorizzazioni minime della console per gli utenti che effettuano chiamate solo alla AWS CLIo all'API AWS. Al contrario, puoi accedere solo alle operazioni che soddisfano l'operazione API che stai cercando di eseguire.

## Consentire agli utenti di visualizzare le loro autorizzazioni
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono allegate alla relativa identità utente. La policy include le autorizzazioni per completare questa azione sulla console o a livello di programmazione utilizzando la AWS CLIo l'API AWS.

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## Autorizzazioni necessarie per eseguire azioni sui dispositivi wireless Wireless AWS IoT
<a name="security_iam_id-based-policy-examples-iot-wireless-resources"></a>

Puoi utilizzare le condizioni nella policy basata sulle identità per controllare l'accesso alle azioni Wireless AWS IoT. Questo esempio mostra come creare una policy che consenta la creazione e la gestione dei dispositivi. Tuttavia, l'autorizzazione viene concessa solo se il valore del tag dell'oggetto `Owner` corrisponde a quello del nome utente. Questa policy concede anche le autorizzazioni necessarie per completare questa azione nella console.

```
{
 "Version": "2012-10-17",
 "Statement": [{
    "Sid": "VisualEditor0",
    "Effect": "Allow",
    "Action": [
              "iotwireless:CreateWirelessDevice",
              "iotwireless:GetWirelessDevice",
              "iotwireless:ListWirelessDevices",
              "iotwireless:UpdateWirelessDevice",
              "iotwireless:DeleteWirelessDevice"             
           ],
    "Resource": "*"
    }
 ]
}
```

La policy contiene una dichiarazione che concede l'autorizzazione all'uso delle azioni `CreateWirelessDevice`, `GetWirelessDevice`, `ListWirelessDevices`, `UpdateWirelessDevice`, e `DeleteWirelessDevice`. Wireless AWS IoT chiama questi metodi per creare e gestire i dispositivi wireless.

La policy non specifica l'elemento Principale poiché in una policy basata su identità non si specifica il principale che ottiene l'autorizzazione. Quando alleghi una policy a un utente, l'utente è il principale implicito. Quando colleghi una policy di autorizzazioni a un ruolo IAM, il principale identificato nella policy di attendibilità del ruolo ottiene le autorizzazioni.

# Policy gestite da AWS per Wireless AWS IoT
<a name="security-iam-awsmanpol"></a>







Per aggiungere le autorizzazioni a utenti, gruppi e ruoli, è più semplice utilizzare policy gestite da AWS piuttosto che scrivere le policy in autonomia. La [creazione di policy gestite dai clienti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) che forniscono al tuo team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza. Per iniziare rapidamente, utilizza le nostre policy gestite da AWS. Queste policy coprono i casi d'uso comuni e sono disponibili nel tuo Account AWS. Per ulteriori informazioni sulle policy gestite da AWS, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.

I servizi AWS mantengono e aggiornano le policy gestite da AWS. Non è possibile modificare le autorizzazioni nelle policy gestite da AWS. I servizi occasionalmente aggiungono altre autorizzazioni a una policy gestita da AWS per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino una policy gestita da AWS quando viene avviata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy gestita da AWS, pertanto gli aggiornamenti delle policy non interrompono le autorizzazioni esistenti.

Inoltre, AWS supporta policy gestite per le funzioni di processi che coprono più servizi. Ad esempio, la policy gestita da AWS **ReadOnlyAccess** fornisce accesso in sola lettura a tutti i servizi e le risorse AWS. Quando un servizio avvia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per l'elenco e la descrizione delle policy di funzione dei processi, consulta la sezione [Policy gestite da AWS per funzioni di processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l'utente di IAM*.









## Policy gestita da AWS: AWSIoTWirelessDataAccess
<a name="security-iam-awsmanpol-AWSIoTWirelessDataAccess"></a>





È possibile allegare la policy `AWSIoTWirelessDataAccess`alle identità IAM.



Questa policy concede all'identità associata le autorizzazioni per l'accesso per inviare dati ai dispositivi LoRaWAN e Sidewalk usando l'API `SendDataToWirelessDevice`. Per visualizzare questa policy nella Console di gestione AWS, consulta [AWSIoTWirelessDataAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSIoTWirelessDataAccess$jsonEditor?section=permissions).



**Dettagli dell'autorizzazione**

Questa policy include le seguenti autorizzazioni:




+ `iotwireless` – Recupera dati Wireless AWS IoT.



```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iotwireless:SendDataToWirelessDevice"
            ],
            "Resource": "*"
        }
    ]
}
```

## Policy gestita da AWS: AWSIoTWirelessFullAccess
<a name="security-iam-awsmanpol-AWSIoTWirelessFullAccess"></a>





È possibile allegare la policy `AWSIoTWirelessFullAccess`alle identità IAM.



Questa policy concede all'identità associata le autorizzazioni per l'accesso a tutte le operazioni Wireless AWS IoT. Per visualizzare questa policy nella Console di gestione AWS, consulta [AWSIoTWirelessFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSIoTWirelessFullAccess?section=permissions).



**Dettagli dell'autorizzazione**

Questa policy include le seguenti autorizzazioni:




+ `iotwireless` – Recupera i dati Wireless AWS IoT ed esegui tutte le operazioni Wireless AWS IoT.



```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iotwireless:*"
            ],
            "Resource": "*"
        }
    ]
}
```

## Policy gestita da AWS: AWSIoTWirelessFullPublishAccess
<a name="security-iam-awsmanpol-AWSIoTWirelessFullPublishAccess"></a>





È possibile allegare la policy `AWSIoTWirelessFullPublishAccess`alle identità IAM.



Questa policy concede all'identità associata le autorizzazioni per l'accesso limitato per pubblicare sulle regole AWS IoT per conto dell'utente. Per visualizzare questa policy nella Console di gestione AWS, consulta [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSIoTWirelessFullPublishAccess?section=permissions](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSIoTWirelessFullPublishAccess?section=permissions).



**Dettagli dell'autorizzazione**

Questa policy include le seguenti autorizzazioni:




+ `iot` – Esegui operazioni per ottenere l'URL dell'endpoint e pubblicarlo nel motore delle regole AWS IoT.



```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iot:DescribeEndpoint",
                "iot:Publish"
            ],
            "Resource": "*"
        }
    ]
}
```

## Policy gestita da AWS: AWSIoTWirelessLogging
<a name="security-iam-awsmanpol-AWSIoTWirelessLogging"></a>





È possibile allegare la policy `AWSIoTWirelessLogging`alle identità IAM.



Questa policy concede all'identità associata le autorizzazioni per l'accesso per creare gruppi di file di log Amazon CloudWatch e trasmettere i registri ai gruppi. Questa policy è collegata al ruolo di logging di CloudWatch. Per visualizzare questa policy nella Console di gestione AWS, consulta [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSIoTWirelessLogging?section=permissions](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSIoTWirelessLogging?section=permissions).



**Dettagli dell'autorizzazione**

Questa policy include le seguenti autorizzazioni:




+ `logs`: recupera registri CloudWatch. Permette anche la creazione di gruppi di file di log CloudWatch e registri di streaming nei gruppi.



```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/iotwireless*"
        }
    ]
}
```

## Policy gestita da AWS: AWSIoTWirelessReadOnlyAccess
<a name="security-iam-awsmanpol-AWSIoTWirelessReadOnlyAccess"></a>





È possibile allegare la policy `AWSIoTLogging`alle identità IAM.



Questa policy concede all'identità associata le autorizzazioni per l'accesso in sola lettura alle operazioni Wireless AWS IoT. Per visualizzare questa policy nella Console di gestione AWS, consulta [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSIoTWirelessReadOnlyAccess?section=permissions](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSIoTWirelessReadOnlyAccess?section=permissions).



**Dettagli dell'autorizzazione**

Questa policy include le seguenti autorizzazioni:




+ `logs` – Esegui operazioni API Wireless AWS IoT `List` e `Get`.



```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iotwireless:List*",
                "iotwireless:Get*"
            ],
            "Resource": "*"
        }
    ]
}
```

## Policy gestita da AWS: AWSIoTWirelessGatewayCertManager
<a name="security-iam-awsmanpol-AWSIoTWirelessGatewayCertManager"></a>





È possibile allegare la policy `AWSIoTWirelessGatewayCertManager`alle identità IAM.



Questa policy concede all'identità associata l'autorizzazione per creare, elencare e descrivere i certificati AWS IoT. Per visualizzare questa policy nella Console di gestione AWS, consulta [`AWSIoTWirelessGatewayCertManager`.](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSIoTWirelessGatewayCertManager?section=permissions)



**Dettagli dell'autorizzazione**

Questa policy include le seguenti autorizzazioni:




+ `iot` – Esegui azioni per creare, descrivere ed elencare i certificati.



```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "IoTWirelessGatewayCertManager",
            "Effect": "Allow",
            "Action": [
                "iot:CreateKeysAndCertificate",
                "iot:DescribeCertificate",
                "iot:ListCertificates"
            ],
            "Resource": "*"
        }
    ]
}
```

## Wireless AWS IoT; aggiornamenti alle policy gestite da AWS
<a name="security-iam-awsmanpol-updates"></a>



Visualizza i dettagli sugli aggiornamenti alle policy gestite da AWS per Wireless AWS IoT da quando questo servizio ha iniziato a tenere traccia delle modifiche. Per gli avvisi automatici sulle modifiche apportate a questa pagina, sottoscrivi il feed RSS nella [pagina della cronologia dei documenti Wireless AWS IoT](doc-history.md).




| Modifica | Descrizione | Data | 
| --- | --- | --- | 
|  Wireless AWS IoT ha iniziato il rilevamento delle modifiche  |  Wireless AWS IoT ha iniziato il rilevamento delle modifiche per le relative policy gestite da AWS.  | 18 maggio 2022 | 

# Risoluzione dei problemi relativi ad accesso e identità Wireless AWS IoT
<a name="security_iam_troubleshoot"></a>

Usa le informazioni seguenti per diagnosticare e risolvere i problemi comuni che possono verificarsi durante l'utilizzo di Wireless AWS IoT.

**Topics**
+ [Non dispongo dell'autorizzazione a eseguire un'operazione in Wireless AWS IoT](#security_iam_troubleshoot-no-permissions)
+ [Desidero visualizzare le mie chiavi di accesso](#security_iam_troubleshoot-access-keys)
+ [Sono un amministratore e desidero consentire ad altri utenti di accedere a Wireless AWS IoT](#security_iam_troubleshoot-admin-delegate)
+ [Voglio consentire alle persone esterne al mio account AWS di accedere alle mie risorse Wireless AWS IoT](#security_iam_troubleshoot-cross-account-access)

## Non dispongo dell'autorizzazione a eseguire un'operazione in Wireless AWS IoT
<a name="security_iam_troubleshoot-no-permissions"></a>

Se la Console di gestione AWS indica che non hai l'autorizzazione a eseguire un'operazione, devi contattare l'amministratore per ricevere assistenza. L'amministratore è la persona da cui si sono ricevuti il nome utente e la password.

L'errore di esempio seguente si verifica quando l'utente IAM `mateojackson` cerca di utilizzare la console per visualizzare i dettagli relativi a un *WirelessDevice* ma non dispone di autorizzazioni `YOUR-SERVICE-PREFIX:GetWirelessDevice`.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: YOUR-SERVICE-PREFIX:GetWirelessDevice on resource: my-LoRaWAN-device
```

In questo caso, Mateo richiede al suo amministratore di aggiornare le policy per poter accedere alla risorsa `my-LoRaWAN-device` utilizzando l'operazione `YOUR-SERVICE-PREFIX:GetWirelessDevice`.

## Desidero visualizzare le mie chiavi di accesso
<a name="security_iam_troubleshoot-access-keys"></a>

Dopo aver creato le chiavi di accesso utente IAM, è possibile visualizzare il proprio ID chiave di accesso in qualsiasi momento. Tuttavia, non è possibile visualizzare nuovamente la chiave di accesso segreta. Se perdi la chiave segreta, dovrai creare una nuova coppia di chiavi di accesso. 

Le chiavi di accesso sono composte da due parti: un ID chiave di accesso (ad esempio `AKIAIOSFODNN7EXAMPLE`) e una chiave di accesso segreta (ad esempio, `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`). Come un nome utente e una password, è necessario utilizzare sia l'ID chiave di accesso sia la chiave di accesso segreta insieme per autenticare le richieste dell'utente. Gestisci le tue chiavi di accesso in modo sicuro mentre crei il nome utente e la password.

**Importante**  
Non fornire le chiavi di accesso a terze parti, neppure per aiutare a [trovare l'ID utente canonico](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId). Se lo facessi, daresti a qualcuno accesso permanente al tuo Account AWS.

Quando crei una coppia di chiavi di accesso, ti viene chiesto di salvare l'ID chiave di accesso e la chiave di accesso segreta in una posizione sicura. La chiave di accesso segreta è disponibile solo al momento della creazione. Se si perde la chiave di accesso segreta, è necessario aggiungere nuove chiavi di accesso all'utente IAM. È possibile avere massimo due chiavi di accesso. Se se ne hanno già due, è necessario eliminare una coppia di chiavi prima di crearne una nuova. Per visualizzare le istruzioni, consulta [Gestione delle chiavi di accesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey) nella *Guida per l'utente di IAM*.

## Sono un amministratore e desidero consentire ad altri utenti di accedere a Wireless AWS IoT
<a name="security_iam_troubleshoot-admin-delegate"></a>

Per consentire ad altri utenti di accedere a Wireless AWS IoT, devi creare un'entità IAM (utente o ruolo) per la persona o l'applicazione che richiede l'accesso. Tale utente o applicazione utilizzerà le credenziali dell'entità per accedere ad AWS. Dovrai quindi collegare all'entità una policy che conceda le autorizzazioni corrette in Wireless AWS IoT.

Per iniziare immediatamente, consulta [Creazione dei primi utenti e gruppi delegati IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-delegated-user.html) nella *Guida per l'utente di IAM*.

## Voglio consentire alle persone esterne al mio account AWS di accedere alle mie risorse Wireless AWS IoT
<a name="security_iam_troubleshoot-cross-account-access"></a>

È possibile creare un ruolo con il quale utenti in altri account o persone esterne all'organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l'assunzione del ruolo. Per servizi che supportano policy basate su risorse o liste di controllo accessi (ACL), utilizza tali policy per concedere alle persone l'accesso alle tue risorse.

Per ulteriori informazioni, consulta gli argomenti seguenti:
+ Per capire se Wireless AWS IoT supporta queste funzionalità, consulta [Come funziona Wireless AWS IoT con IAM](security_iam_service-with-iam.md).
+ Per informazioni su come garantire l'accesso alle risorse negli Account AWSche possiedi, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS in tuo possesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso alle risorse ad Account AWS di terze parti, consulta [Fornire l'accesso agli Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (Federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente di IAM*.
+ Per informazioni sulle differenze tra l'utilizzo di ruoli e policy basate su risorse per l'accesso multi-account, consultare [Differenza tra i ruoli IAM e le policy basate su risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) nella *Guida per l'utente di IAM*.