Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Creazione dei ruoli e collegamento delle policy (console)
<a name="access_policies_job-functions_create-policies"></a>

Molte delle politiche elencate in precedenza concedono la possibilità di configurare AWS servizi con ruoli che consentono a tali servizi di eseguire operazioni per conto dell'utente. Le policy della funzione lavorativa specificano i nomi di ruolo esatti che è necessario utilizzare o almeno includono un prefisso che specifica la prima parte del nome che può essere utilizzato. Per creare uno di questi ruoli, eseguire le operazioni descritte nella procedura seguente.

**Per creare un ruolo per una Servizio AWS (console IAM)**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel pannello di navigazione della console IAM, scegliere **Ruoli** e quindi **Crea ruolo**.

1. Per **Tipo di entità attendibile**, seleziona **Servizio AWS**.

1. Per **Servizio o caso d'uso**, scegli un servizio, quindi scegli il caso d'uso. I casi d'uso sono definiti dal servizio per includere la policy di fiducia richiesta dal servizio.

1. Scegli **Next (Successivo)**.

1. Per **Policy di autorizzazione**, le opzioni dipendono dal caso d'uso selezionato:
   + Se il servizio definisce le autorizzazioni per il ruolo, le policy di autorizzazioni non possono essere selezionate.
   + Seleziona una policy da un set limitato di policy di autorizzazione.
   + Seleziona una policy tra tutte le policy di autorizzazione.
   + Non selezionare policy di autorizzazioni, crea le policy dopo la creazione del ruolo e quindi collegale al ruolo.

1. (Facoltativo) Impostare un [limite delle autorizzazioni](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Questa è una funzionalità avanzata disponibile per i ruoli di servizio, ma non per i ruoli collegati ai servizi.

   1. Apri la sezione **Imposta limite delle autorizzazioni** e seleziona **Usa un limite delle autorizzazioni per controllare il numero massimo di autorizzazioni del ruolo**. 

      IAM include un elenco delle politiche AWS gestite e gestite dal cliente nel tuo account.

   1. Selezionare la policy da utilizzare per il limite delle autorizzazioni.

1. Scegli **Next (Successivo)**.

1. Per **Nome del ruolo**, le opzioni dipendono dal servizio:
   + Se il servizio definisce il nome del ruolo, non puoi modificarlo.
   + Se il servizio definisce un prefisso per il nome del ruolo, puoi inserire un suffisso facoltativo.
   + Se il servizio non definisce il nome del ruolo, puoi assegnare un nome al ruolo.
**Importante**  
Quando assegni un nome a un ruolo, tieni presente quanto segue:  
I nomi dei ruoli devono essere univoci all'interno del tuo Account AWS account e non possono essere resi unici per caso.  
Ad esempio, non creare ruoli denominati **PRODROLE** e **prodrole**. Quando il nome di un ruolo viene utilizzato in una policy o come parte di un ARN, il nome del ruolo fa distinzione tra maiuscole e minuscole, tuttavia quando un nome di ruolo viene visualizzato ai clienti nella console, ad esempio durante il processo di accesso, il nome del ruolo non fa distinzione tra maiuscole e minuscole.
Non è possibile modificare il nome del ruolo dopo averlo creato, in quanto altre entità possono fare riferimento al ruolo.

1. (Facoltativo) In **Descrizione**, inserisci una descrizione per il ruolo.

1. (Facoltativo) Per modificare i casi d'uso e le autorizzazioni per il ruolo, in **Fase 1: seleziona le entità attendibili** o **Fase 2: aggiungi autorizzazioni** seleziona **Modifica**.

1. (Facoltativo) Per facilitare l'identificazione, l'organizzazione o la ricerca del ruolo, aggiungi i tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo dei tag in IAM, consulta [Tags for AWS Identity and Access Management resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) nella *IAM User Guide*.

1. Verificare il ruolo e quindi scegliere **Create role (Crea ruolo)**.

## Esempio 1: configurazione di un utente come amministratore di database (console)
<a name="jf_example_1"></a>

Questo esempio illustra i passaggi necessari per configurare Alice, un utente IAM, come [Amministratore del database](access_policies_job-functions.md#jf_database-administrator). Utilizza le informazioni nella prima riga della tabella nella sezione e consenti all'utente di abilitare il monitoraggio Amazon RDS. Alleghi la [DatabaseAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/DatabaseAdministrator)policy all'utente IAM di Alice in modo che possa gestire i servizi di database Amazon. Questa policy, inoltre, consente ad Alice di passare un ruolo denominato `rds-monitoring-role` al servizio Amazon RDS, che consente al servizio di monitorare i database Amazon RDS per suo conto.

1. Accedi a Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Scegli **Policy** e inserisci **database** nella casella di ricerca, quindi premi Invio.

1. Seleziona il pulsante di opzione relativo alla **DatabaseAdministrator**policy, scegli **Azioni**, quindi scegli **Allega**.

1. Nell'elenco di entità, seleziona **Alice**, quindi scegli **Collega policy**. Alice ora può amministrare AWS i database. Tuttavia, per consentire ad Alice di monitorare tali database, è necessario configurare il ruolo di servizio.

1. Nel pannello di navigazione della console IAM, scegliere **Ruoli** e quindi **Crea ruolo**.

1. Seleziona il tipo di ruolo **Servizio AWS **, quindi scegli **Amazon RDS**.

1. Seleziona il caso d'uso **Ruolo Amazon RDS per il monitoraggio avanzato**.

1. Amazon RDS definisce le autorizzazioni per il ruolo. Selezionare **Next: Review (Successivo: esamina)** per continuare.

1. Il nome del ruolo deve essere uno di quelli specificati dalla DatabaseAdministrator politica di cui dispone ora Alice. Uno di questi è **rds-monitoring-role**. Inseriscilo in **Role name** (Nome ruolo).

1. (Facoltativo) In **Descrizione ruolo**, immettere una descrizione per il nuovo ruolo.

1. Dopo aver revisionato i dettagli, selezionare **Create role (Crea ruolo)**.

1. Alice ora può abilitare **Monitoraggio avanzato RDS** nella sezione **Monitoraggio** della console Amazon RDS. Ad esempio, può eseguire questa operazione quando crea un'istanza database, crea una replica di lettura o modifica un'istanza di database. Devono inserire il nome del ruolo che hanno creato (rds-monitoring-role) nella casella **Ruolo di monitoraggio** quando impostano **Abilita monitoraggio avanzato** su **Sì**. 

## Esempio 2: configurazione di un utente come amministratore di rete (console)
<a name="jf_example_2"></a>

Questo esempio illustra i passaggi necessari per configurare Jorge, un utente IAM, come [Amministratore di rete](access_policies_job-functions.md#jf_network-administrator). Utilizza le informazioni nella tabella in tale sezione per consentire a Jorge di monitorare il traffico IP in uscita e in entrata da VPC. Consente inoltre a Jorge di acquisire tali informazioni nei log in CloudWatch Logs. Alleghi la [NetworkAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/NetworkAdministrator)policy all'utente IAM di Jorge in modo che possa configurare le risorse di rete. AWS Inoltre, tale policy consente a Jorge di passare un ruolo il cui nome inizia con `flow-logs*` ad Amazon EC2 al momento della creazione del log di flusso. In questo scenario, diversamente dall'esempio 1, non è disponibile un tipo di ruolo di servizio predefinito, è necessario eseguire pochi passaggi in maniera diversa.

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione, scegli **Policy** e inserisci **network** nella casella di ricerca, quindi premi Invio.

1. Seleziona il pulsante di opzione accanto alla **NetworkAdministrator**policy, scegli **Azioni**, quindi scegli **Allega**.

1. Nell'elenco degli utenti, seleziona la casella di controllo accanto a **Jorge** e scegli **Collega policy**. Jorge ora può amministrare le risorse di AWS rete. Tuttavia, per consentire il monitoraggio di traffico IP nel VPC, è necessario configurare il ruolo del servizio.

1. Poiché il ruolo del servizio che bisogna creare non dispone di una policy gestita predefinita, è necessario prima crearlo. Nel riquadro di navigazione, selezionare **Policies (Policy)** e **Create Policy (Crea policy)**.

1. Nella sezione **Editor di policy**, seleziona l'opzione **JSON** e copia il testo dal seguente documento della policy JSON. Incolla il testo nella casella di testo **JSON**. 

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Action": [
           "logs:CreateLogGroup",
           "logs:CreateLogStream",
           "logs:PutLogEvents",
           "logs:DescribeLogGroups",
           "logs:DescribeLogStreams"
         ],
         "Effect": "Allow",
         "Resource": "*"
       }
     ]
   }
   ```

------

1.  Risolvi eventuali avvisi di sicurezza, errori o avvisi generali generati durante la [convalida delle policy](access_policies_policy-validator.md), quindi scegli **Next** (Successivo). 
**Nota**  
È possibile alternare le opzioni dell'editor **Visivo** e **JSON** in qualsiasi momento. Se tuttavia si apportano modifiche o si seleziona **Successivo** nell'editor **Visivo**, IAM potrebbe ristrutturare la policy in modo da ottimizzarla per l'editor visivo. Per ulteriori informazioni, consulta [Modifica della struttura delle policy](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Nella pagina **Verifica e crea**, digita **vpc-flow-logs-policy-for-service-role** come nome della policy. Rivedi il campo **Autorizzazioni definite in questa policy** per visualizzare le autorizzazioni concesse dalla policy, quindi seleziona **Crea policy** per salvare il lavoro.

   La nuova policy appare nell'elenco delle policy gestite ed è pronta a collegare.

1. Nel pannello di navigazione della console IAM, scegliere **Ruoli** e quindi **Crea ruolo**.

1. Seleziona il tipo di ruolo **Servizio AWS **, quindi scegli **Amazon EC2**.

1. Seleziona il caso d'uso **Amazon EC2**.

1. Nella pagina **Allega criteri di autorizzazione**, scegli la politica che hai creato in precedenza, **vpc-flow-logs-policy- for-service-role**, quindi scegli **Avanti**: revisione.

1. Il nome del ruolo deve essere consentito dalla NetworkAdministrator politica attuale di Jorge. Qualsiasi nome che inizia con `flow-logs-` è consentito. Per questo esempio, inserisci **flow-logs-for-jorge** come **Role name** (Nome del ruolo).

1. (Facoltativo) In **Descrizione ruolo**, immettere una descrizione per il nuovo ruolo.

1. Dopo aver revisionato i dettagli, selezionare **Create role (Crea ruolo)**.

1. Ora è possibile configurare la policy attendibilità necessaria per questo scenario. Nella pagina **Ruoli**, scegli il **flow-logs-for-jorge**ruolo (il nome, non la casella di controllo). Nella pagina dei dettagli per il nuovo ruolo, selezionare la scheda **Trust relationships (Relazioni di trust)** e selezionare **Edit trust relationship (Modifica relazione di trust)**.

1. Modificare la riga "Servizio" come segue, sostituendo la voce per `ec2.amazonaws.com`:

   ```
           "Service": "vpc-flow-logs.amazonaws.com"
   ```

1. Jorge può ora creare log di flusso da un VPC o una sottorete nella console Amazon EC2. Quando crei il log di flusso, specifica il **flow-logs-for-jorge**ruolo. Quel ruolo dispone delle autorizzazioni per creare il log e scriverci dati.