Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Limita le autorizzazioni con le dichiarazioni sulle policy dei ruoli IAM AMS utilizza un ruolo IAM per impostare le autorizzazioni degli utenti tramite il servizio di federazione. **Landing Zone AMS per account singolo**: vedi [SALZ: Ruoli utente IAM predefiniti](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html#json-default-role). **Multi-Account Landing Zone AMS**: vedi [MALZ: Ruoli utente IAM predefiniti](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html#json-default-role-malz). Un ruolo IAM è un'entità IAM che definisce un insieme di autorizzazioni per effettuare AWS richieste di servizio. I ruoli IAM non sono associati a un utente o a un gruppo specifico. Invece, le entità attendibili assumono ruoli, come utenti IAM, applicazioni o AWS servizi come Amazon EC2. Per ulteriori informazioni, consulta [IAM Roles](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) (Ruoli IAM). Puoi definire la policy desiderata per un utente che assume il ruolo utente AMS IAM utilizzando l'operazione API AWS Security Token Service (STS) [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)inserendo una policy IAM più restrittiva nel `Policy` campo di richiesta. Di seguito vengono fornite istruzioni politiche di esempio che è possibile utilizzare per limitare l'accesso CT. Utilizzando i gruppi Active Directory (AD) configurati e l'operazione API AWS Security Token Service (STS) [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html), puoi impostare le autorizzazioni per determinati utenti o gruppi, inclusa la limitazione dell'accesso a determinati tipi di modifiche ()CTs. Puoi utilizzare le dichiarazioni politiche mostrate di seguito per limitare l'accesso CT in vari modi. Dichiarazione AMS change type nel profilo di istanza IAM predefinito che consente l'accesso a tutte le chiamate API AMS (amscm e amsskms) e a tutti i tipi di modifica: ``` { "Sid": "AWSManagedServicesFullAccess", "Effect": "Allow", "Action": [ "amscm:*", "amsskms:*" ], "Resource": [ "*" ] } ``` 1. Dichiarazione per consentire l'accesso e tutte le azioni solo per due operazioni specificate CTs, dove «Azione» indica le operazioni dell'API AMS (una `amscm` o l'altra`amsskms`) e «Resource» rappresenta il tipo di modifica e il numero di versione esistenti: IDs ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "amscm:*", "Resource": [ "arn:aws:amscm:*:*:changetype/ct-ID1:1.0", "arn:aws:amscm:*:*:changetype/ct-ID2:1.0" ] } ] } ``` ------ 1. Dichiarazione per CreateRfc consentire l'accesso a e solo SubmitRfc su due specificate CTs: UpdateRfc 1. Dichiarazione per CreateRfc consentire l'accesso a e SubmitRfc su tutti i dispositivi disponibili CTs: UpdateRfc 1. Dichiarazione per negare l'accesso a tutte le azioni relative alla TAC con restrizioni e consentire ad altre CTs: