Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione delle identità e degli accessi per AWS Resource Access Manager
AWS Identity and Access Management (IAM) è un AWS servizio che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori di IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (dispone delle autorizzazioni) a utilizzare le risorse. AWS Utilizzando IAM, crei i principali, come ruoli, utenti e gruppi, all'interno del tuo. Account AWS Sei tu a controllare le autorizzazioni di cui dispongono i responsabili per eseguire attività utilizzando le risorse. AWS Puoi utilizzare IAM senza alcun costo aggiuntivo. Per ulteriori informazioni sulla gestione e la creazione di policy IAM personalizzate, consulta [Managing IAM policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) nella *IAM User Guide*.
**Topics**
+ [Come AWS RAM funziona con IAM](security-iam-policies.md)
+ [AWS politiche gestite per AWS Resource Access Manager](security-iam-awsmanpol.md)
+ [Utilizzo di ruoli collegati ai servizi per AWS RAM](using-service-linked-roles.md)
+ [Esempi di politiche IAM per AWS RAM](security-iam-policies-examples.md)
+ [Esempi di politiche di controllo dei servizi per AWS Organizations e AWS RAM](security-scp.md)
+ [Disabilitazione della condivisione delle risorse con AWS Organizations](security-disable-sharing-with-orgs.md)
# Come AWS RAM funziona con IAM
Per impostazione predefinita, i responsabili IAM non sono autorizzati a creare o modificare AWS RAM risorse. Per consentire ai dirigenti IAM di creare o modificare risorse ed eseguire attività, esegui una delle seguenti operazioni. Queste azioni concedono il permesso di utilizzare risorse e azioni API specifiche.
Per fornire l’accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
+ Utenti e gruppi in AWS IAM Identity Center:
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) (Creazione di un set di autorizzazioni) nella *Guida per l’utente di AWS IAM Identity Center *.
+ Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) della *Guida per l’utente IAM*.
+ Utenti IAM:
+ Crea un ruolo che l’utente possa assumere. Segui le istruzioni riportate nella pagina [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) della *Guida per l’utente IAM*.
+ (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina [Aggiunta di autorizzazioni a un utente (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.
AWS RAM fornisce diverse politiche AWS gestite che è possibile utilizzare per soddisfare le esigenze di molti utenti. Per ulteriori informazioni su queste impostazioni, consulta [AWS politiche gestite per AWS Resource Access Manager](security-iam-awsmanpol.md).
Se hai bisogno di un controllo più preciso sulle autorizzazioni concesse ai tuoi utenti, puoi creare le tue policy nella console IAM. *Per informazioni sulla creazione di policy e sulla loro associazione ai ruoli e agli utenti IAM, consulta [Policies and permissions in IAM nella](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) User Guide.AWS Identity and Access Management *
Le seguenti sezioni forniscono i dettagli AWS RAM specifici per la creazione di una policy di autorizzazione IAM.
**Contents**
+ [Struttura delle policy](#structure)
+ [Effetto](#iam-policies-effect)
+ [Azione](#iam-policies-action)
+ [Risorsa](#iam-policies-resource)
+ [Condizione](#iam-policies-condition)
## Struttura delle policy
Una policy di autorizzazione IAM è un documento JSON che include le seguenti dichiarazioni: Effect, Action, Resource e Condition. Una policy IAM assume in genere la forma seguente.
```
{
"Statement":[{
"Effect":"",
"Action":"",
"Resource":"",
"Condition":{
"":{
"":""
}
}
}]
}
```
### Effetto
L'istruzione *Effect* indica se la policy consente o nega l'autorizzazione principale per eseguire un'azione. I valori possibili includono: `Allow` e`Deny`.
### Azione
L'istruzione *Action* specifica le azioni AWS RAM API per le quali la policy consente o nega l'autorizzazione. Per un elenco completo delle azioni consentite, consulta [Actions defined by AWS Resource Access Manager](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsresourceaccessmanager.html#awsresourceaccessmanager-actions-as-permissions) nella *IAM User Guide*.
### Risorsa
La dichiarazione *Resource* specifica le AWS RAM risorse interessate dalla policy. Per specificare una risorsa nell'istruzione, devi utilizzare il relativo Amazon Resource Name (ARN) univoco. Per un elenco completo delle risorse consentite, consulta [Resources defined by AWS Resource Access Manager](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsresourceaccessmanager.html#awsresourceaccessmanager-resources-for-iam-policies) nella *IAM User Guide*.
### Condizione
Le istruzioni sulle *condizioni* sono facoltative. Possono essere utilizzate per perfezionare ulteriormente le condizioni alle quali si applica la politica. AWS RAM supporta le seguenti chiavi di condizione:
+ `aws:RequestTag/${TagKey}`— Verifica se la richiesta di servizio include un tag con la chiave di tag specificata esiste e ha il valore specificato.
+ `aws:ResourceTag/${TagKey}`— Verifica se alla risorsa su cui si basa la richiesta di servizio è associata un'etichetta con una chiave di tag specificata nella policy.
La condizione di esempio seguente verifica che la risorsa a cui si fa riferimento nella richiesta di servizio abbia un tag allegato con il nome chiave «Owner» e il valore «Dev Team».
```
"Condition" : {
"StringEquals" : {
"aws:ResourceTag/Owner" : "Dev Team"
}
}
```
+ `aws:TagKeys`— Speciifica le chiavi dei tag che devono essere utilizzate per creare o contrassegnare una condivisione di risorse.
+ `ram:AllowsExternalPrincipals`— Verifica se la condivisione di risorse nella richiesta di servizio consente la condivisione con responsabili esterni. Un principale esterno è una persona Account AWS esterna all'organizzazione in AWS Organizations. Se il risultato è positivo`False`, puoi condividere questa condivisione di risorse con gli account solo della stessa organizzazione.
+ `ram:PermissionArn`— Verifica se l'ARN di autorizzazione specificato nella richiesta di servizio corrisponde a una stringa ARN specificata nella policy.
+ `ram:PermissionResourceType`— Verifica se l'autorizzazione specificata nella richiesta di servizio è valida per il tipo di risorsa specificato nella politica. Specificate i tipi di risorse utilizzando il formato mostrato nell'elenco dei [tipi di risorse condivisibili](shareable.md).
+ `ram:Principal`— Verifica se l'ARN del principale specificato nella richiesta di servizio corrisponde a una stringa ARN specificata nella policy.
+ `ram:RequestedAllowsExternalPrincipals`— Verifica se la richiesta di servizio include il `allowExternalPrincipals` parametro e se il relativo argomento corrisponde al valore specificato nella politica.
+ `ram:RequestedResourceType`— Verifica se il tipo di risorsa su cui si agisce corrisponde a una stringa di tipo di risorsa specificata nella politica. Specificate i tipi di risorse utilizzando il formato mostrato nell'elenco dei [tipi di risorse condivisibili](shareable.md).
+ `ram:ResourceArn`— Verifica se l'ARN della risorsa su cui agisce la richiesta di servizio corrisponde a un ARN specificato nella policy.
+ `ram:ResourceShareName`— Verifica se il nome della condivisione di risorse su cui agisce la richiesta di servizio corrisponde a una stringa specificata nella policy.
+ `ram:ShareOwnerAccountId`— Verifica che il numero ID dell'account della condivisione di risorse su cui agisce la richiesta di servizio corrisponda a una stringa specificata nella politica.
# AWS politiche gestite per AWS Resource Access Manager
AWS Resource Access Manager attualmente fornisce diverse politiche AWS RAM gestite, descritte in questo argomento.
**Topics**
+ [AWSResourceAccessManagerReadOnlyAccess](#security-iam-managed-policies-AWSResourceAccessManagerReadOnlyAccess)
+ [AWSResourceAccessManagerFullAccess](#security-iam-managed-policies-AWSResourceAccessManagerFullAccess)
+ [AWSResourceAccessManagerResourceShareParticipantAccess](#security-iam-managed-policies-AWSResourceAccessManagerResourceShareParticipantAccess)
+ [AWSResourceAccessManagerServiceRolePolicy](#security-iam-managed-policies-AWSResourceAccessManagerServiceRolePolicy)
+ [Aggiornamenti delle policy](#security-iam-awsmanpol-updates)
Nell'elenco precedente, puoi allegare le prime tre policy ai ruoli, ai gruppi e agli utenti IAM per concedere le autorizzazioni. L'ultima policy dell'elenco è riservata al ruolo collegato al AWS RAM servizio.
Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## AWS politica gestita: AWSResource AccessManagerReadOnlyAccess
È possibile allegare la policy `AWSResourceAccessManagerReadOnlyAccess` alle identità IAM.
Questo criterio fornisce autorizzazioni di sola lettura per le condivisioni di risorse di proprietà dell'utente. Account AWS
Lo fa concedendo il permesso di eseguire una qualsiasi delle operazioni o. `Get*` `List*` Non fornisce alcuna possibilità di modificare alcuna condivisione di risorse.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `ram`— Consente ai responsabili di visualizzare i dettagli sulle quote di risorse possedute dall'account.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ram:Get*",
"ram:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS politica gestita: AWSResource AccessManagerFullAccess
È possibile allegare la policy `AWSResourceAccessManagerFullAccess` alle identità IAM.
Questa politica fornisce l'accesso amministrativo completo per visualizzare o modificare le condivisioni di risorse di proprietà dell'utente Account AWS.
Lo fa concedendo il permesso di eseguire qualsiasi `ram` operazione.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `ram`— Consente ai responsabili di visualizzare o modificare qualsiasi informazione sulle condivisioni di risorse di proprietà di. Account AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ram:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS politica gestita: AWSResource AccessManagerResourceShareParticipantAccess
È possibile allegare la policy `AWSResourceAccessManagerResourceShareParticipantAccess` alle identità IAM.
Questa politica offre ai mandanti la possibilità di accettare o rifiutare le condivisioni di risorse condivise con questo Account AWS provider e di visualizzare i dettagli su tali condivisioni di risorse. Non offre alcuna possibilità di modificare tali condivisioni di risorse.
Lo fa concedendo il permesso di eseguire alcune `ram` operazioni.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `ram`— Consente ai responsabili di accettare o rifiutare gli inviti alla condivisione delle risorse e di visualizzare i dettagli sulle condivisioni di risorse condivise con l'account.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ram:AcceptResourceShareInvitation",
"ram:GetResourcePolicies",
"ram:GetResourceShareInvitations",
"ram:GetResourceShares",
"ram:ListPendingInvitationResources",
"ram:ListPrincipals",
"ram:ListResources",
"ram:RejectResourceShareInvitation"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS politica gestita: AWSResource AccessManagerServiceRolePolicy
La policy AWS gestita `AWSResourceAccessManagerServiceRolePolicy` può essere utilizzata solo con il ruolo collegato al servizio per. AWS RAM Non puoi allegare, scollegare, modificare o eliminare questa politica.
Questa politica fornisce AWS RAM l'accesso in sola lettura alla struttura dell'organizzazione. Quando abiliti l'integrazione tra AWS RAM e AWS Organizations, crea AWS RAM automaticamente un ruolo collegato al servizio denominato [AWSServiceRoleForResourceAccessManager](https://console.aws.amazon.com/iam/home#/roles/AWSServiceRoleForResourceAccessManager)che il servizio assume quando deve cercare informazioni sull'organizzazione e sui relativi account, ad esempio quando si visualizza la struttura dell'organizzazione nella console. AWS RAM
A tale scopo, concede l'autorizzazione di sola lettura per eseguire `organizations:List` le operazioni `organizations:Describe` e le operazioni che forniscono dettagli sulla struttura e sugli account dell'organizzazione.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `organizations`— Consente ai dirigenti di visualizzare le informazioni sulla struttura dell'organizzazione, comprese le unità organizzative, e il contenuto in esse contenuto. Account AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListChildren",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListRoots"
],
"Resource": "*"
},
{
"Sid": "AllowDeletionOfServiceLinkedRoleForResourceAccessManager",
"Effect": "Allow",
"Action": [
"iam:DeleteRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/ram.amazonaws.com/*"
]
}
]
}
```
------
## AWS RAM aggiornamenti alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite AWS RAM da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei AWS RAM documenti.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| AWS Resource Access Manager ha iniziato a tenere traccia delle modifiche | AWS RAM ha documentato le politiche gestite esistenti e ha iniziato a tenere traccia delle modifiche. | 16 settembre 2021 |
# Utilizzo di ruoli collegati ai servizi per AWS RAM
AWS Resource Access Manager utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato al servizio è un tipo unico di ruolo IAM collegato direttamente al servizio. AWS RAM I ruoli collegati ai servizi sono predefiniti AWS e includono tutte le autorizzazioni necessarie per chiamare altri servizi per AWS RAM tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione AWS RAM perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS RAM definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumere i ruoli collegati al servizio. AWS RAM Le autorizzazioni definite includono sia una politica di fiducia che una politica di autorizzazioni e tale politica di autorizzazioni non può essere associata a nessun'altra entità IAM.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruolo associato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
## Autorizzazioni di ruolo collegate al servizio per AWS RAM
AWS RAM utilizza il ruolo collegato al servizio denominato `AWSServiceRoleForResourceAccessManager` quando abiliti la condivisione con. AWS Organizations Questo ruolo concede al AWS RAM servizio le autorizzazioni per visualizzare i dettagli dell'organizzazione, come l'elenco degli account dei membri e le unità organizzative in cui si trova ciascun account.
Questo ruolo collegato al servizio si affida al seguente servizio per l'assunzione del ruolo:
+ `ram.amazonaws.com`
La politica di autorizzazione del ruolo denominata AWSResource AccessManagerServiceRolePolicy è allegata a questo ruolo collegato al servizio e consente di AWS RAM completare le seguenti azioni sulle risorse specificate:
+ Azioni: azioni di sola lettura che recuperano dettagli sulla struttura dell'organizzazione. Per l'elenco completo delle azioni, puoi visualizzare la policy nella console IAM:. [AWSResourceAccessManagerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceAccessManagerServiceRolePolicy$jsonEditor)
Affinché un responsabile attivi la AWS RAM condivisione all'interno dell'organizzazione, tale responsabile (un'entità IAM come un utente, un gruppo o un ruolo) deve disporre dell'autorizzazione per creare un ruolo collegato al servizio. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente di IAM*.
## Creazione di un ruolo collegato ai servizi per AWS RAM
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando attivi la AWS RAM condivisione all'interno della tua organizzazione o la Console di gestione AWS esegui [EnableSharingWithAwsOrganization](https://docs.aws.amazon.com/ram/latest/APIReference/API_EnableSharingWithAwsOrganization.html)nel tuo account utilizzando AWS CLI o un' AWS API, AWS RAM crea automaticamente il ruolo collegato al servizio.
Chiama `enable-sharing-with-aws-organizations` per creare il ruolo collegato al servizio nel tuo account.
Se elimini questo ruolo collegato al servizio, AWS RAM non hai più le autorizzazioni per visualizzare i dettagli della struttura della tua organizzazione.
## Modifica di un ruolo collegato al servizio per AWS RAM
AWS RAM non consente di modificare il ruolo collegato al AWSResource AccessManagerServiceRolePolicy servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta la sezione [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per AWS RAM
Puoi utilizzare la console IAM, AWS CLI o l' AWS API per eliminare manualmente il ruolo collegato al servizio.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al `AWSResourceAccessManagerServiceRolePolicy` servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l’utente di IAM*.
## Regioni supportate per i ruoli collegati ai servizi AWS RAM
AWS RAM supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta la sezione relativa a [regioni ed endpoint AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) nella *Riferimenti generali di Amazon Web Services*.
# Esempi di politiche IAM per AWS RAM
Questo argomento include esempi di politiche IAM AWS RAM che dimostrano la condivisione di risorse e tipi di risorse specifici e la limitazione della condivisione.
**Topics**
+ [Consenti la condivisione di risorse specifiche](#owner-share-specific-resources)
+ [Consenti la condivisione di tipi di risorse specifici](#owner-share-resource-types)
+ [Limita la condivisione con soggetti esterni Account AWS](#control-access-owner-external)
## Esempio 1: consentire la condivisione di risorse specifiche
Puoi utilizzare una policy di autorizzazione IAM per limitare i principali all'associazione solo di risorse specifiche a condivisioni di risorse.
Ad esempio, la seguente policy limita i principali alla condivisione della sola regola del resolver con l'Amazon Resource Name (ARN) specificato. L'operatore `StringEqualsIfExists` consente una richiesta se la richiesta non include un `ResourceArn` parametro o, se include quel parametro, se il suo valore corrisponde esattamente all'ARN specificato.
[Per ulteriori informazioni su quando e perché utilizzare gli `...IfExists` operatori, consulta... IfExists condition operator](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists) nella *IAM User Guide*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"ram:ResourceArn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-rule/rslvr-rr-5328a0899aexample"
}
}
}]
}
```
------
## Esempio 2: consentire la condivisione di tipi di risorse specifici
Puoi utilizzare una policy IAM per limitare i principali all'associazione solo di tipi di risorse specifici alle condivisioni di risorse.
Le azioni `AssociateResourceShare` e `CreateResourceShare` possono accettare i principi e `resourceArns` come parametri di input indipendenti. Pertanto, AWS RAM autorizza ogni principale e risorsa in modo indipendente, quindi potrebbero esserci più contesti di [richiesta](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic_policy-eval-reqcontext.html). Ciò significa che quando un principale viene associato a una condivisione di AWS RAM risorse, la chiave di `ram:RequestedResourceType` condizione non è presente nel contesto della richiesta. Allo stesso modo, quando una risorsa viene associata a una condivisione di AWS RAM risorse, la chiave di `ram:Principal` condizione non è presente nel contesto della richiesta. Pertanto, per consentire `AssociateResourceShare` e `CreateResourceShare` quando si associano i principali alla condivisione di AWS RAM risorse, è possibile utilizzare l'operatore [`Null`condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_Null).
Ad esempio, la seguente policy limita i principali a condividere solo le regole del resolver Amazon Route 53 e consente loro di associare qualsiasi principale a quella condivisione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowOnlySpecificResourceType",
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"StringEquals": {
"ram:RequestedResourceType": "route53resolver:ResolverRule"
}
}
},
{
"Sid": "AllowAssociatingPrincipals",
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"Null": {
"ram:Principal": "false"
}
}
}
]
}
```
------
## Esempio 3: limita la condivisione con siti esterni Account AWS
Puoi utilizzare una policy IAM per impedire ai responsabili di condividere risorse con Account AWS soggetti esterni all' AWS organizzazione.
Ad esempio, la seguente policy IAM impedisce ai responsabili di aggiungere elementi esterni Account AWS alle condivisioni di risorse.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ram:CreateResourceShare",
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "false"
}
}
}]
}
```
------
# Esempi di politiche di controllo dei servizi per AWS Organizations e AWS RAM
AWS RAM supporta le politiche di controllo del servizio (SCPs). SCPs sono politiche che allegate agli elementi di un'organizzazione per gestire le autorizzazioni all'interno di tale organizzazione. Un SCP si applica a tutti gli elementi Account AWS [inclusi nell'elemento a cui si collega l'](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_inheritance_auth.html)SCP. SCPs offrite il controllo centralizzato sulle autorizzazioni massime disponibili per tutti gli account della vostra organizzazione. Possono aiutarvi a garantire che rispettiate le Account AWS linee guida per il controllo degli accessi della vostra organizzazione. Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html) nella *Guida per l'utente di AWS Organizations *.
## Prerequisiti
Per utilizzarlo SCPs, devi prima fare quanto segue:
+ Abilitazione di tutte le caratteristiche nell'organizzazione. Per ulteriori informazioni, vedere [Abilitazione di tutte le funzionalità dell'organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) nella *Guida AWS Organizations per l'utente*
+ Abilita SCPs per l'uso all'interno della tua organizzazione. Per ulteriori informazioni, vedere [Abilitazione e disabilitazione dei tipi di policy](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html) nella Guida per l'*AWS Organizations utente*
+ Crea quello SCPs che ti serve. Per ulteriori informazioni sulla creazione SCPs, consulta [Creazione e aggiornamento SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scp-create.html) nella *Guida AWS Organizations per l'utente*.
## Policy di controllo dei servizi di esempio
**Contents**
+ [Esempio 1: Impedire la condivisione esterna](#example-one)
+ [Esempio 2: Impedisci agli utenti di accettare inviti alla condivisione di risorse da account esterni all'organizzazione](#example-two)
+ [Esempio 3: consentire ad account specifici di condividere tipi di risorse specifici](#example-three)
+ [Esempio 4: Impedire la condivisione con l'intera organizzazione o con le unità organizzative](#example-four)
+ [Esempio 5: consenti la condivisione solo con principali specifici](#example-five)
+ [Esempio 6: Impedisci la condivisione delle risorse se abilitato RetainSharingOnAccountLeaveOrganization](#example-six)
Di seguito sono riportati alcuni esempi che mostrano come controllare vari aspetti della condivisione delle risorse in un'organizzazione.
### Esempio 1: Impedire la condivisione esterna
Il seguente SCP impedisce agli utenti di creare condivisioni di risorse che consentano la condivisione con responsabili esterni all'organizzazione dell'utente che condivide.
AWS RAM autorizza APIs separatamente per ogni principale e risorsa elencati nella chiamata.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:UpdateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "true"
}
}
}
]
}
```
------
### Esempio 2: Impedisci agli utenti di accettare inviti alla condivisione di risorse da account esterni all'organizzazione
Il seguente SCP impedisce a qualsiasi principale di un account interessato di accettare un invito a utilizzare una condivisione di risorse. Le condivisioni di risorse condivise con altri account della stessa organizzazione dell'account di condivisione non generano inviti e pertanto non sono interessate da questo SCP.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ram:AcceptResourceShareInvitation",
"Resource": "*"
}
]
}
```
------
### Esempio 3: consentire ad account specifici di condividere tipi di risorse specifici
Il seguente SCP consente *solo* di `222222222222` creare account `111111111111` e nuove condivisioni di risorse che condividono elenchi di prefissi Amazon EC2 o di associare elenchi di prefissi a condivisioni di risorse esistenti.
AWS RAM autorizza APIs separatamente per ogni principale e risorsa elencati nella chiamata.
L'operatore `StringEqualsIfExists` consente una richiesta se la richiesta non include un parametro del tipo di risorsa o, se include quel parametro, se il suo valore corrisponde esattamente al tipo di risorsa specificato. Se stai includendo un preside devi averlo`...IfExists`.
Per ulteriori informazioni su quando e perché utilizzare `...IfExists` gli operatori, consulta[... IfExists condition operator](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists) nella *IAM User Guide*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [
"111111111111",
"222222222222"
]
},
"StringEqualsIfExists": {
"ram:RequestedResourceType": "ec2:PrefixList"
}
}
}
]
}
```
------
### Esempio 4: Impedire la condivisione con l'intera organizzazione o con le unità organizzative
Il seguente SCP impedisce agli utenti di creare condivisioni di risorse che condividano risorse con un'intera organizzazione o con qualsiasi unità organizzativa. Gli utenti *possono* condividerle con singoli Account AWS membri dell'organizzazione o con ruoli o utenti IAM.
AWS RAM autorizza APIs separatamente per ogni principale e risorsa elencati nella chiamata.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ram:Principal": [
"arn:aws:organizations::*:organization/*",
"arn:aws:organizations::*:ou/*"
]
}
}
}
]
}
```
------
### Esempio 5: consenti la condivisione solo con principali specifici
L'esempio seguente SCP consente agli utenti di condividere risorse *solo* con l'unità `o-12345abcdef,` `ou-98765fedcba` organizzativa dell'organizzazione e. Account AWS `111111111111`
Se si utilizza un `"Effect": "Deny"` elemento con un operatore di condizione negata, ad esempio`StringNotEqualsIfExists`, la richiesta viene comunque negata anche se la chiave di condizione non è presente. Utilizza un operatore di condizione `Null` per verificare se una chiave di condizione è presente o meno al momento dell'autorizzazione.
AWS RAM autorizza APIs separatamente per ogni principale e risorsa elencati nella chiamata.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"ram:Principal": [
"arn:aws:organizations::123456789012:organization/o-12345abcdef",
"arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
"111111111111"
]
},
"Null": {
"ram:Principal": "false"
}
}
}
]
}
```
------
### Esempio 6: Impedisci la condivisione delle risorse se abilitato RetainSharingOnAccountLeaveOrganization
Il seguente SCP impedisce agli utenti di creare o modificare condivisioni di risorse quando la chiave di `ram:RetainSharingOnAccountLeaveOrganization` condizione è impostata su. `true`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare",
"ram:DisassociateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RetainSharingOnAccountLeaveOrganization": "true"
}
}
}
]
}
```
# Disabilitazione della condivisione delle risorse con AWS Organizations
Se in precedenza hai abilitato la condivisione con AWS Organizations e non hai più bisogno di condividere le risorse con l'intera organizzazione o le unità organizzative (OUs), puoi disabilitare la condivisione. Quando disabiliti la condivisione con AWS Organizations, tutte le organizzazioni OUs vengono rimosse dalle condivisioni di risorse che hai creato e perdono l'accesso alle risorse condivise. Gli account esterni (account aggiunti alla condivisione di risorse tramite invito) non subiranno alcun impatto e continueranno a essere associati alla condivisione di risorse.
**Per disabilitare la condivisione con AWS Organizations**
1. Disabilita l'accesso affidabile all' AWS Organizations utilizzo del AWS Organizations [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) AWS CLI comando.
```
$ aws organizations disable-aws-service-access --service-principal ram.amazonaws.com
```
**Importante**
Quando si disabilita l'accesso affidabile a AWS Organizations, i responsabili all'interno dell'organizzazione vengono rimossi da tutte le condivisioni di risorse e perdono l'accesso a tali risorse condivise.
1. Utilizza la console IAM AWS CLI, o le operazioni dell'API IAM per eliminare il ruolo collegato al **AWSServiceRoleForResourceAccessManager**servizio. Per ulteriori informazioni, consultare [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente di IAM*.