Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AWS politiche gestite per le funzioni lavorative
Consigliamo di utilizzare le policy che [concedono il privilegio minimo](best-practices.md#grant-least-privilege) o che concedono solo le autorizzazioni richieste per eseguire un processo. Il modo più sicuro per concedere il privilegio minimo consiste nello scrivere una policy personalizzata con solo le autorizzazioni necessarie al team. È necessario creare un processo per consentire al team di richiedere ulteriori autorizzazioni quando necessario. La [creazione di policy gestite dai clienti IAM](access_policies_create-console.md) che forniscono al team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza.
Per iniziare ad aggiungere autorizzazioni alle tue identità IAM (utenti, gruppi di utenti e ruoli), puoi utilizzare. [AWS politiche gestite](access_policies_managed-vs-inline.md#aws-managed-policies) AWS le politiche gestite coprono casi d'uso comuni e sono disponibili nel tuo. Account AWS AWS le politiche gestite non concedono i permessi con il privilegio minimo. Considera il rischio per la sicurezza di concedere ai principali più autorizzazioni di quelle necessarie per svolgere il proprio lavoro.
Puoi allegare policy AWS gestite, incluse le funzioni lavorative, a qualsiasi identità IAM. Per passare alle autorizzazioni con privilegi minimi, puoi eseguire Access Analyzer AWS Identity and Access Management e monitorare i principali con policy gestite. AWS Dopo aver appreso quali autorizzazioni stanno utilizzando, puoi scrivere una policy personalizzata o generare una policy con solo le autorizzazioni richieste per il team. È meno sicuro, ma offre maggiore flessibilità man mano che impari a utilizzare il tuo team. AWS
AWS le politiche gestite per le funzioni lavorative sono progettate per allinearsi strettamente alle funzioni lavorative comuni nel settore IT. È possibile utilizzare queste policy per concedere le autorizzazioni necessarie per eseguire le attività che ci si aspetta da qualcuno in una determinata funzione lavorativa. Queste policy consolidano le autorizzazioni per molti servizi in un'unica policy con la quale è più semplice collaborare rispetto ad avere le autorizzazioni disperse in molte policy.
**Utilizzare i ruoli per combinare i servizi**
Alcune policy utilizzano i ruoli di servizio IAM per aiutarti a sfruttare le funzionalità disponibili in altri AWS servizi. Queste politiche concedono l'accesso a`iam:passrole`, il che consente a un utente con la policy di trasferire un ruolo a un AWS servizio. Questo ruolo delega le autorizzazioni IAM al AWS servizio per eseguire azioni per tuo conto.
È necessario creare ruoli in base alle proprie esigenze. Ad esempio, la politica dell'amministratore di rete consente a un utente con la policy di passare un ruolo denominato flow-logs-vpc "" al CloudWatch servizio Amazon. CloudWatch utilizza quel ruolo per registrare e acquisire il traffico IP VPCs creato dall'utente.
Per seguire le best practice di sicurezza, le policy per le funzioni lavorative includono filtri che limitano i nomi dei ruoli validi che possono essere passati. In questo modo è possibile evitare di concedere autorizzazioni non necessarie. Se gli utenti richiedono i ruoli di servizio opzionali, è necessario creare un ruolo che segue la convenzione di denominazione specificata nella policy. È possibile concedere le autorizzazioni al ruolo. Una volta completata questa operazione, l'utente può configurare il servizio per utilizzare il ruolo, concedendogli tutte le autorizzazioni che il ruolo fornisce.
Nelle seguenti sezioni, ogni nome di policy è un collegamento alla pagina dei dettagli della policy nella Console di gestione AWS. Qui è possibile visualizzare il documento della policy e riconsultare le autorizzazioni che concede.
## Funzione processo dell'amministratore
**AWS nome della politica gestita: [AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess)**
**Caso d'uso:** questo utente ha accesso completo e può delegare le autorizzazioni per ogni servizio e risorsa in AWS.
**Aggiornamenti della politica:** AWS mantiene e aggiorna questa politica. Per una cronologia delle modifiche apportate a questa policy, visualizza la policy nella console IAM e scegli la scheda **Versioni di policy**. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta [Aggiornamenti alle politiche AWS gestite per le funzioni lavorative](#security-iam-awsmanpol-jobfunction-updates).
**Descrizione della politica:** questa politica concede tutte le azioni per tutti i AWS servizi e per tutte le risorse dell'account. Per ulteriori informazioni sulla policy gestita, consulta [AdministratorAccess](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AdministratorAccess.html)la *AWS Managed Policy Reference Guide*.
**Nota**
Prima che un utente o un ruolo IAM possa accedere alla Gestione dei costi e fatturazione AWS console con le autorizzazioni previste da questa policy, devi prima attivare l'accesso a utenti e ruoli IAM. A tale scopo, seguire le istruzioni riportate in [Concedere l'accesso alla console di fatturazione](getting-started-account-iam.md) per delegare l'accesso alla console di fatturazione.
## Funzione di processo di fatturazione
**AWS nome della politica gestita:** [Billing](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/Billing)
**Caso d'uso:** questo utente deve visualizzare i dati di fatturazione, impostare i pagamenti e autorizzarli. L'utente può monitorare i costi accumulati per l'intero AWS servizio.
**Aggiornamenti della politica:** AWS mantiene e aggiorna questa politica. Per una cronologia delle modifiche apportate a questa policy, visualizza la policy nella console IAM e scegli la scheda **Versioni di policy**. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta [Aggiornamenti alle politiche AWS gestite per le funzioni lavorative](#security-iam-awsmanpol-jobfunction-updates).
**Descrizione policy:** questa policy concede le autorizzazioni complete per gestire fatturazione, costi, metodi di pagamento, budget e report. Per ulteriori esempi di policy di gestione dei costi, consulta gli [esempi di policy AWS Billing](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html) nella *Guida per l'utente di Gestione dei costi e fatturazione AWS * Per ulteriori informazioni sulla policy gestita, consulta [Billing](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/Billing.html) nella *Guida di riferimento alle policy gestite da AWS *.
**Nota**
Prima che un utente o un ruolo IAM possa accedere alla Gestione dei costi e fatturazione AWS console con le autorizzazioni previste da questa policy, devi prima attivare l'accesso a utenti e ruoli IAM. A tale scopo, seguire le istruzioni riportate in [Concedere l'accesso alla console di fatturazione](getting-started-account-iam.md) per delegare l'accesso alla console di fatturazione.
## Funzione di processo dell'amministratore di database
**AWS nome della policy gestita: [DatabaseAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/DatabaseAdministrator)**
**Caso d'uso:** questo utente configura, configura e gestisce i database nel AWS cloud.
**Aggiornamenti delle politiche:** AWS mantiene e aggiorna questa politica. Per una cronologia delle modifiche apportate a questa policy, visualizza la policy nella console IAM e scegli la scheda **Versioni di policy**. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta [Aggiornamenti alle politiche AWS gestite per le funzioni lavorative](#security-iam-awsmanpol-jobfunction-updates).
**Descrizione policy:** questa policy concede le autorizzazioni per creare, configurare e gestire i database. Include l'accesso a servizi di AWS database, come Amazon DynamoDB, Amazon Relational Database Service (RDS) e Amazon Redshift. Visualizza la policy per l'elenco completo di servizi di database supportati dalla policy. *Per ulteriori informazioni sulla policy gestita, consulta la Managed Policy Reference [DatabaseAdministrator](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/DatabaseAdministrator.html)Guide AWS .*
Questa politica sulle funzioni lavorative supporta la possibilità di trasferire ruoli ai AWS servizi. La policy consente l'operazione `iam:PassRole` solo per i ruoli denominati nella tabella seguente. Per ulteriori informazioni, consulta [Creazione dei ruoli e collegamento delle policy (console)](access_policies_job-functions_create-policies.md) più avanti in questo argomento.
| Caso d’uso | Nome ruolo (\* è un carattere jolly) | Tipo di ruolo di servizio da selezionare | Seleziona questa politica AWS gestita |
| --- | --- | --- | --- |
| Consentire all'utente di monitorare i database RDS | [rds-monitoring-role](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html) | Ruolo Amazon RDS per il monitoraggio avanzato | [AmazonRDSEnhancedMonitoringRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonRDSEnhancedMonitoringRole) |
| Consenti AWS Lambda il monitoraggio del database e l'accesso ai database esterni | [rdbms-lambda-access](https://aws.amazon.com/blogs/big-data/from-sql-to-microservices-integrating-aws-lambda-with-relational-databases) | Amazon EC2 | [AWSLambda\_FullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSLambda_FullAccess) |
| Consentire a Lambda di caricare file su Amazon S3 e su cluster Amazon Redshift con DynamoDB | [lambda\_exec\_role](https://aws.amazon.com/blogs/big-data/a-zero-administration-amazon-redshift-database-loader) | AWS Lambda | Creare una nuova policy gestita secondo quanto definito in [AWS Big Data Blog](https://aws.amazon.com/blogs/big-data/a-zero-administration-amazon-redshift-database-loader) |
| Consentire alle funzioni Lambda di agire come trigger per le tabelle DynamoDB | [lambda-dynamodb-\*](https://docs.aws.amazon.com/lambda/latest/dg/with-ddb.html) | AWS Lambda | [AWSLambdaDynamo Role DBExecution](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaDynamoDBExecutionRole) |
| Consentire alle funzioni Lambda di accedere ad Amazon RDS in un VPC | [lambda-vpc-execution-role](https://docs.aws.amazon.com/lambda/latest/dg/vpc-rds.html) | Creazione di un ruolo con una policy di attendibilità secondo quanto definito nella [Guida per gli sviluppatori di AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/vpc-rds.html) | [AWSLambdaVPCAccessExecutionRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaVPCAccessExecutionRole) |
| Consenti l'accesso AWS Data Pipeline alle tue risorse AWS | [DataPipelineDefaultRole](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | Creazione di un ruolo con una policy di attendibilità secondo quanto definito nella [Guida per gli sviluppatori di AWS Data Pipeline](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | La AWS Data Pipeline documentazione elenca le autorizzazioni richieste per questo caso d'uso. Vedi i [ruoli IAM per AWS Data Pipeline](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) |
| Consentire alle applicazioni in esecuzione su istanze Amazon EC2 di accedere alle risorse AWS | [DataPipelineDefaultResourceRole](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | Creazione di un ruolo con una policy di attendibilità secondo quanto definito nella [Guida per gli sviluppatori di AWS Data Pipeline](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | [AmazonEC2RoleforDataPipelineRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEC2RoleforDataPipelineRole) |
## Funzione di processo per data scientist
**AWS nome della politica gestita: [DataScientist](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/DataScientist)**
**Caso d'uso:** questo utente esegue attività e query Hadoop. L'utente, inoltre accede e analizza le informazioni per l'analisi dei dati e di business intelligence.
**Aggiornamenti della politica:** AWS mantiene e aggiorna questa politica. Per una cronologia delle modifiche apportate a questa policy, visualizza la policy nella console IAM e scegli la scheda **Versioni di policy**. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta [Aggiornamenti alle politiche AWS gestite per le funzioni lavorative](#security-iam-awsmanpol-jobfunction-updates).
**Descrizione della politica:** questa politica concede le autorizzazioni per creare, gestire ed eseguire query su un cluster Amazon EMR ed eseguire analisi dei dati con strumenti come Amazon. QuickSight La policy include l'accesso a servizi di data scientist aggiuntivi, come Amazon EC2 AWS Data Pipeline, Amazon Kinesis, Amazon Machine Learning e AI. SageMaker Visualizza la policy per l'elenco completo dei servizi scientifici dei dati supportati dalla policy. Per ulteriori informazioni sulla policy gestita, consulta [DataScientist](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/DataScientist.html)la Managed *Policy Reference Guide.AWS *
Questa politica sulle funzioni lavorative supporta la possibilità di trasferire ruoli ai AWS servizi. Un'unica dichiarazione consente di trasferire qualsiasi ruolo all' SageMaker IA. Un'altra istruzione consente l'operazione `iam:PassRole` solo per i ruoli denominati nella tabella seguente. Per ulteriori informazioni, consulta [Creazione dei ruoli e collegamento delle policy (console)](access_policies_job-functions_create-policies.md) più avanti in questo argomento.
| Caso d’uso | Nome ruolo (\* è un carattere jolly) | Tipo di ruolo di servizio da selezionare | AWS politica gestita da selezionare |
| --- | --- | --- | --- |
| Consentire alle istanze Amazon EC2 l'accesso ai servizi e alle risorse idonei per i cluster | [EMR- \_ EC2 DefaultRole](https://docs.aws.amazon.com/emr/latest/DeveloperGuide/emr-iam-roles-defaultroles.html) | Amazon EMR per EC2 | [AmazonElasticMapReduceforEC2Ruolo](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonElasticMapReduceforEC2Role) |
| Consentire ad Amazon EMR di accedere al servizio e alle risorse Amazon EC2 per i cluster | [EMR\_ DefaultRole](https://docs.aws.amazon.com/emr/latest/DeveloperGuide/emr-iam-roles-defaultroles.html) | Amazon EMR | [Amazon EMRService Policy\_v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRServicePolicy_v2) |
| Consenti a Kinesis Managed Service per Apache Flink di accedere alle origini dati in streaming | [kinesis-\*](https://aws.amazon.com/blogs/big-data/a-zero-administration-amazon-redshift-database-loader) | Creare un ruolo con una policy di affidabilità secondo quanto definito in [AWS Big Data Blog](https://aws.amazon.com/blogs/big-data/a-zero-administration-amazon-redshift-database-loader). | Consultare [AWS Big Data Blog](https://aws.amazon.com/blogs/big-data/a-zero-administration-amazon-redshift-database-loader), che delinea quattro possibili opzioni, a seconda del caso d'uso |
| Consenti l'accesso alle tue risorse AWS Data Pipeline AWS | [DataPipelineDefaultRole](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | Creazione di un ruolo con una policy di attendibilità secondo quanto definito nella [Guida per gli sviluppatori di AWS Data Pipeline](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | La AWS Data Pipeline documentazione elenca le autorizzazioni richieste per questo caso d'uso. Vedi i [ruoli IAM per AWS Data Pipeline](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) |
| Consentire alle applicazioni in esecuzione su istanze Amazon EC2 di accedere alle risorse AWS | [DataPipelineDefaultResourceRole](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | Creazione di un ruolo con una policy di attendibilità secondo quanto definito nella [Guida per gli sviluppatori di AWS Data Pipeline](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | [AmazonEC2RoleforDataPipelineRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEC2RoleforDataPipelineRole) |
## Funzione di processo per l'utente avanzato sviluppatore
**AWS nome della politica gestita: [PowerUserAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/PowerUserAccess)**
**Caso d'uso:** questo utente esegue attività di sviluppo di applicazioni e può creare e configurare risorse e servizi che supportano lo sviluppo di applicazioni AWS consapevoli.
**Aggiornamenti delle politiche:** AWS mantiene e aggiorna questa politica. Per una cronologia delle modifiche apportate a questa policy, visualizza la policy nella console IAM e scegli la scheda **Versioni di policy**. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta [Aggiornamenti alle politiche AWS gestite per le funzioni lavorative](#security-iam-awsmanpol-jobfunction-updates).
**Descrizione della politica:** la prima dichiarazione di questa politica utilizza l'[`NotAction`](reference_policies_elements_notaction.md)elemento per consentire tutte le azioni per tutti i AWS servizi e per tutte le risorse tranne AWS Identity and Access Management AWS Organizations, e Gestione dell'account AWS. La seconda istruzione concede le autorizzazioni IAM per creare un ruolo collegato ai servizi. Questo è obbligatorio per alcuni servizi che devono accedere alle risorse di un altro servizio, ad esempio un bucket Amazon S3. Concede inoltre AWS Organizations le autorizzazioni per visualizzare le informazioni sull'organizzazione dell'utente, incluse le limitazioni relative all'account di gestione, alla posta elettronica e all'organizzazione. Sebbene questa policy limiti IAM AWS Organizations, consente all'utente di eseguire tutte le azioni di IAM Identity Center se IAM Identity Center è abilitato. Concede inoltre le autorizzazioni di gestione dell'account per visualizzare quali AWS regioni sono abilitate o disabilitate per l'account.
## Funzione di processo per l'amministratore di rete
**AWS nome della politica gestita: [NetworkAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/NetworkAdministrator)**
**Caso d'uso:** questo utente ha il compito di configurare e gestire le risorse AWS di rete.
**Aggiornamenti delle politiche:** AWS mantiene e aggiorna questa politica. Per una cronologia delle modifiche apportate a questa policy, visualizza la policy nella console IAM e scegli la scheda **Versioni di policy**. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta [Aggiornamenti alle politiche AWS gestite per le funzioni lavorative](#security-iam-awsmanpol-jobfunction-updates).
**Descrizione della politica:** questa politica concede le autorizzazioni per creare e gestire risorse di rete in Auto Scaling, Amazon EC2 AWS Direct Connect, Route 53, Amazon, Elastic CloudFront Load Balancing, Amazon SNS, CloudWatch Logs, AWS Elastic Beanstalk Amazon S3, IAM e Amazon Virtual CloudWatch Private Cloud. *Per ulteriori informazioni sulla policy gestita, consulta la Managed Policy Reference Guide. [NetworkAdministrator](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/NetworkAdministrator.html)AWS *
Questa funzione lavorativa richiede la capacità di trasferire ruoli ai AWS servizi. La policy concede `iam:GetRole` e `iam:PassRole` solo per quei ruoli denominati nella tabella seguente. Per ulteriori informazioni, consulta [Creazione dei ruoli e collegamento delle policy (console)](access_policies_job-functions_create-policies.md) più avanti in questo argomento.
| Caso d’uso | Nome ruolo (\* è un carattere jolly) | Tipo di ruolo di servizio da selezionare | AWS politica gestita da selezionare |
| --- | --- | --- | --- |
| Consente ad Amazon VPC di creare e gestire i log in CloudWatch Logs per conto dell'utente per monitorare il traffico IP in entrata e in uscita dal tuo VPC | [flow-logs-\*](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-iam) | Creazione di un ruolo con una policy di attendibilità secondo quanto definito nella [Guida per l'utente di Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-iam) | Questo caso d'uso non prevede una policy AWS gestita esistente, ma la documentazione elenca le autorizzazioni richieste. Consulta la [Guida per l'utente di Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-iam). |
## Accesso in sola lettura
**AWS nome della politica gestita: [ReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/ReadOnlyAccess)**
**Caso d'uso:** questo utente richiede l'accesso in sola lettura a tutte le risorse in un Account AWS.
**Importante**
Questo utente avrà anche accesso ai dati di lettura in servizi di archiviazione come i bucket Amazon S3 e le tabelle Amazon DynamoDB.
**Aggiornamenti della politica:** AWS mantiene e aggiorna questa politica. Per una cronologia delle modifiche apportate a questa policy, visualizza la policy nella console IAM e scegli la scheda **Versioni di policy**. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta [Aggiornamenti alle politiche AWS gestite per le funzioni lavorative](#security-iam-awsmanpol-jobfunction-updates).
**Descrizione della policy:** questa policy concede le autorizzazioni per elencare, ottenere, descrivere e visualizzare in altro modo le risorse e i relativi attributi. Non include funzioni mutanti come create o delete. Questa politica include l'accesso in sola lettura ai AWS servizi relativi alla sicurezza, come e. AWS Identity and Access Management Gestione dei costi e fatturazione AWS Visualizza la policy per l'elenco completo di servizi e operazioni supportati dalla policy. *Per ulteriori informazioni sulla policy gestita, vedere la Managed Policy Reference Guide [ReadOnlyAccess](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/ReadOnlyAccess.html).AWS * Se hai bisogno di una policy simile che non conceda l’accesso ai dati di lettura nei servizi di archiviazione, consulta [Funzione di processo per utente con sola visualizzazione](#jf_view-only-user).
## Accesso completo alle azioni del servizio MCP
**AWS nome della politica gestita: [AWSMcpServiceActionsFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSMcpServiceActionsFullAccess)**
**Caso d'uso:** questo utente richiede l'accesso ai AWS servizi tramite server AWS MCP. Questa politica non concede l'accesso alle azioni intraprese da un servizio MCP ad altri AWS servizi.
**Aggiornamenti delle politiche:** AWS mantiene e aggiorna questa politica. Per una cronologia delle modifiche apportate a questa policy, visualizza la policy nella console IAM e scegli la scheda **Versioni di policy**. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta [Aggiornamenti alle politiche AWS gestite per le funzioni lavorative](#security-iam-awsmanpol-jobfunction-updates).
**Descrizione della politica:** questa politica concede le autorizzazioni per richiamare qualsiasi azione del servizio AWS MCP. È possibile utilizzare quando non è necessario specificare le autorizzazioni per servizio MCP. AWS Non concede autorizzazioni per le azioni eseguite dal servizio MCP ad altri AWS servizi, tali autorizzazioni devono essere sempre concesse separatamente e in aggiunta alle azioni del servizio MCP. *Per ulteriori informazioni sulla politica gestita, vedere [AWSMcpServiceActionsFullAccess](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSMcpServiceActionsFullAccess.html)nella Managed Policy Reference Guide AWS .*
## Funzione di processo del revisore sicurezza
**AWS nome della politica gestita: [SecurityAudit](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/SecurityAudit)**
**Caso d'uso:** questo utente monitora gli account per la conformità ai requisiti di sicurezza. Questo utente può accedere ai log e agli eventi per analizzare potenziali violazioni alla sicurezza o potenziale attività non autorizzata.
**Aggiornamenti della politica:** AWS mantiene e aggiorna questa politica. Per una cronologia delle modifiche apportate a questa policy, visualizza la policy nella console IAM e scegli la scheda **Versioni di policy**. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta [Aggiornamenti alle politiche AWS gestite per le funzioni lavorative](#security-iam-awsmanpol-jobfunction-updates).
**Descrizione della politica:** questa politica concede le autorizzazioni per visualizzare i dati di configurazione per molti AWS servizi e per esaminarne i registri. Per ulteriori informazioni sulla policy gestita, vedere la Managed Policy [SecurityAudit](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/SecurityAudit.html)Reference *AWS Guide*.
## Funzione di processo dell'utente di Support
**AWS nome della politica gestita: AWSSupport** [Access](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSSupportAccess)
**Caso d'uso:** questo utente contatta l' AWS assistenza, crea casi di supporto e visualizza lo stato dei casi esistenti.
**Aggiornamenti delle politiche:** AWS mantiene e aggiorna questa politica. Per una cronologia delle modifiche apportate a questa policy, visualizza la policy nella console IAM e scegli la scheda **Versioni di policy**. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta [Aggiornamenti alle politiche AWS gestite per le funzioni lavorative](#security-iam-awsmanpol-jobfunction-updates).
**Descrizione della politica:** questa politica concede le autorizzazioni per creare e aggiornare Supporto i casi. Per ulteriori informazioni sulla policy gestita, consulta [AWSSupportAccess](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSSupportAccess.html) in *AWS Managed Policy Reference Guide.*
## Funzione di processo dell'amministratore di sistema
**AWS nome della politica gestita: [SystemAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/SystemAdministrator)**
**Caso d'uso:** questo utente imposta e gestisce le risorse per le operazioni di sviluppo.
**Aggiornamenti della politica:** AWS mantiene e aggiorna questa politica. Per una cronologia delle modifiche apportate a questa policy, visualizza la policy nella console IAM e scegli la scheda **Versioni di policy**. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta [Aggiornamenti alle politiche AWS gestite per le funzioni lavorative](#security-iam-awsmanpol-jobfunction-updates).
**Descrizione della politica:** questa politica concede le autorizzazioni per creare e gestire risorse su un'ampia gamma di AWS servizi, tra cui AWS CloudTrail Amazon CloudWatch,,, AWS CodeCommit, AWS CodeDeploy AWS Config, Amazon EC2 AWS Directory Service,,, Amazon RDS AWS Identity and Access Management AWS Key Management Service AWS Lambda, Route 53, Amazon S3, Amazon SES, Amazon SQS e Amazon VPC. AWS Trusted Advisor*Per ulteriori informazioni sulla policy gestita, consulta la Managed Policy Reference Guide. [SystemAdministrator](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/SystemAdministrator.html)AWS *
Questa funzione lavorativa richiede la capacità di trasferire ruoli ai AWS servizi. La policy concede `iam:GetRole` e `iam:PassRole` solo per quei ruoli denominati nella tabella seguente. Per ulteriori informazioni, consulta [Creazione dei ruoli e collegamento delle policy (console)](access_policies_job-functions_create-policies.md) più avanti in questo argomento. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta [Aggiornamenti alle politiche AWS gestite per le funzioni lavorative](#security-iam-awsmanpol-jobfunction-updates).
| Caso d’uso | Nome ruolo (\* è un carattere jolly) | Tipo di ruolo di servizio da selezionare | AWS politica gestita da selezionare |
| --- | --- | --- | --- |
| Consentire alle applicazioni in esecuzione in istanze di EC2 in un cluster Amazon ECS di accedere ad Amazon ECS | [ecr-sysadmin-\*](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/instance_IAM_role.html) | Ruolo Amazon EC2 per EC2 Container Service | [EC2ContainerServiceforEC2Ruolo di Amazon](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role) |
| Consentire a un utente di monitorare i database | [rds-monitoring-role](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html) | Ruolo Amazon RDS per il monitoraggio avanzato | [AmazonRDSEnhancedMonitoringRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonRDSEnhancedMonitoringRole) |
| Consenti alle app in esecuzione su istanze EC2 di accedere AWS alle risorse. | [ec2-sysadmin-\*](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) | Amazon EC2 | Policy di esempio per il ruolo che concede l'accesso a un bucket S3 come illustrato nella [Guida per l'utente di Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html); personalizzare in base alle esigenze |
| Consenti a Lambda di leggere i flussi DynamoDB e scrivere nei log CloudWatch | [lambda-sysadmin-\*](https://docs.aws.amazon.com/lambda/latest/dg/with-ddb.html) | AWS Lambda | [AWSLambdaDynamo Role DBExecution](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaDynamoDBExecutionRole) |
## Funzione di processo per utente con sola visualizzazione
**AWS nome della politica gestita: [ViewOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/ViewOnlyAccess)**
**Caso d'uso:** questo utente può visualizzare un elenco di AWS risorse e metadati di base nell'account per tutti i servizi. L'utente non può leggere i contenuti o i metadati delle risorse che superano la quota ed elencare informazioni per le risorse.
**Aggiornamenti delle politiche:** AWS mantiene e aggiorna questa politica. Per una cronologia delle modifiche apportate a questa policy, visualizza la policy nella console IAM e scegli la scheda **Versioni di policy**. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta [Aggiornamenti alle politiche AWS gestite per le funzioni lavorative](#security-iam-awsmanpol-jobfunction-updates).
**Descrizione della politica:** questa politica concede`List*`, `Describe*` `Get*``View*`, e `Lookup*` l'accesso alle risorse per AWS i servizi. Per vedere quali azioni include questa politica per ogni servizio, consulta [ViewOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/ViewOnlyAccess). Per ulteriori informazioni sulla policy gestita, consulta [ViewOnlyAccess](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/ViewOnlyAccess.html)la *AWS Managed Policy Reference Guide*.
## Aggiornamenti alle politiche AWS gestite per le funzioni lavorative
Queste politiche sono tutte gestite AWS e aggiornate per includere il supporto per nuovi servizi e nuove funzionalità man mano che vengono aggiunte dai AWS servizi. Queste policy non possono essere modificate dai clienti. È possibile creare una copia della policy e quindi modificarla, ma tale copia non viene aggiornata automaticamente in quanto AWS introduce nuovi servizi e operazioni API.
Per una policy di funzione del processo, è possibile visualizzare la cronologia delle versioni e l'ora e la data di ogni aggiornamento nella console IAM. A tale scopo, utilizza i collegamenti presenti in questa pagina per visualizzare i dettagli delle policy. Quindi scegli la scheda **Versioni di policy** per visualizzare le versioni. Questa pagina mostra le ultime 25 versioni di una policy. Per visualizzare tutte le versioni di una policy, chiamate il [get-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy-version.html) AWS CLI comando o l'operazione [GetPolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicyVersion.html)API.
**Nota**
È possibile avere fino a cinque versioni di una policy gestita dal cliente, ma AWS conserva la cronologia completa delle versioni delle politiche AWS gestite.