Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Risoluzione dei problemi relativi a IAM
<a name="troubleshoot"></a>

Utilizza le informazioni qui riportate per eseguire la diagnosi e risolvere problemi comuni durante l'utilizzo di AWS Identity and Access Management (IAM).

**Topics**
+ [Non riesco ad accedere al mio account AWS](#troubleshoot_general_cant-sign-in)
+ [Chiavi di accesso smarrite](#troubleshoot_general_access-keys)
+ [Variabili della policy non funzionanti](#troubleshoot_general_policy-variables-dont-work)
+ [Le modifiche che apporto non sono sempre immediatamente visibili](#troubleshoot_general_eventual-consistency)
+ [Non sono autorizzato a eseguire: iam: DeleteVirtual MFADevice](#troubleshoot_general_access-denied-delete-mfa)
+ [Come posso creare utenti IAM in modo sicuro?](#troubleshoot_general_securely-create-iam-users)
+ [Risorse aggiuntive](#troubleshoot_general_resources)
+ [Risoluzione dei problemi relativi ai messaggi di errore di accesso rifiutato](troubleshoot_access-denied.md)
+ [Risoluzione dei problemi con l'utente root](troubleshooting_root-user.md)
+ [Risoluzione dei problemi relativi alle policy IAM](troubleshoot_policies.md)
+ [Risoluzione dei problemi relativi alle passkey e alle chiavi di sicurezza FIDO](troubleshoot_mfa-fido.md)
+ [Risoluzione dei problemi relativi ai ruoli IAM](troubleshoot_roles.md)
+ [Risoluzione dei problemi relativi a IAM e Amazon EC2](troubleshoot_iam-ec2.md)
+ [Risoluzione dei problemi relativi a IAM ed Amazon S3](troubleshoot_iam-s3.md)
+ [Risoluzione dei problemi di federazione SAML con IAM](troubleshoot_saml.md)

## Non riesco ad accedere al mio account AWS
<a name="troubleshoot_general_cant-sign-in"></a>

Verifica di disporre delle credenziali corrette e di utilizzare il metodo corretto per accedere. Per ulteriori informazioni, consulta [Risoluzione dei problemi di accesso](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html) nella *Guida per l'utente‏ di Accedi ad AWS *.

## Chiavi di accesso smarrite
<a name="troubleshoot_general_access-keys"></a>

Le chiavi di accesso sono costituite da due parti:
+ **Identificatore della chiave di accesso**: Questo non è un segreto e può essere visualizzato nella console IAM ovunque le chiavi di accesso siano elencate, ad esempio nella pagina di riepilogo dell'utente.
+ **Chiave di accesso segreta**: questa informazione viene fornita quando si crea inizialmente la coppia di chiavi di accesso. Proprio come una password, non ***può essere recuperata in seguito***. Se la chiave di accesso segreta viene persa, è necessario creare una nuova coppia di chiavi di accesso. Se si disponi già del [numero massimo di chiavi di accesso](reference_iam-quotas.md#reference_iam-quotas-entities), è necessario eliminare una coppia esistente prima di crearne un'altra.

Se perdi la chiave di accesso segreta, è necessario eliminarla e crearne una nuova. Per ulteriori istruzioni, consulta [Aggiornare le chiavi di accesso](id-credentials-access-keys-update.md).

## Variabili della policy non funzionanti
<a name="troubleshoot_general_policy-variables-dont-work"></a>

Se le variabili della policy non funzionano, si è verificato uno dei seguenti errori:

**La data è errata nell'elemento della policy Version.**  
Verificare che tutte le policy che includono variabili includano il seguente numero di versione nella policy: `"Version": "2012-10-17"`. Senza il numero di versione corretto, le variabili non vengono sostituite durante la valutazione. Al contrario, le variabili vengono valutate letteralmente. Le policy che non includono variabili continueranno a funzionare se si include il numero di versione più recente.  
Un elemento di policy `Version` è diverso da una versione di policy. L'elemento di policy `Version` viene utilizzato all'interno di una policy e definisce la versione del linguaggio di policy. Una versione della policy viene creata quando si modifica una policy gestita dal cliente in IAM. La policy modificata non viene sovrascritta a quella precedente. IAM crea invece una nuova versione della policy gestita. Per ulteriori informazioni sull'elemento di policy `Version`, consultare [Elementi delle policy JSON IAM: Version](reference_policies_elements_version.md). Per ulteriori informazioni sulle versioni di policy, consultare [Controllo delle versioni delle policy IAM](access_policies_managed-versioning.md).

**I caratteri variabili sono scritti con lettere maiuscole e minuscole errate.**  
Verificare che le variabili della policy applichino la distinzione maiuscole/minuscole corretta. Per informazioni dettagliate, vedi [Elementi delle policy IAM: variabili e tag](reference_policies_variables.md).

## Le modifiche che apporto non sono sempre immediatamente visibili
<a name="troubleshoot_general_eventual-consistency"></a>

Essendo un servizio a cui si accede da computer in data center presenti in tutto il mondo, IAM utilizza un modello di elaborazione distribuito denominato [consistenza finale](https://wikipedia.org/wiki/Eventual_consistency). Qualsiasi modifica apportata a IAM (o ad altri AWS servizi), compresi i tag di [controllo degli accessi basati sugli attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html), richiede tempo per diventare visibile da tutti gli endpoint possibili. Alcuni dei ritardi sono dovuti al tempo necessario per inviare i dati da un server a un altro, da una zona di replica a un'altra e da una regione a un'altra. IAM utilizza inoltre la memorizzazione nella cache per migliorare le prestazioni, è possibile che ciò aumenti ulteriormente il tempo richiesto, in quanto la modifica potrebbe risultare visibile solo dopo il timeout dei dati memorizzati nella cache.

È necessario progettare le applicazioni globali in modo da considerare questi potenziali ritardi e assicurarsi che funzionino come previsto, anche quando una modifica apportata in una posizione non è immediatamente visibile in un'altra. Tali modifiche includono la creazione o l'aggiornamento di utenti, gruppi, ruoli, o policy. Si consiglia di non includere tali modifiche IAM nei percorsi critici e ad alta disponibilità del codice dell'applicazione. Al contrario, apporta modifiche IAM in un'inizializzazione separata o in una routine di configurazione che si esegue meno frequentemente. Inoltre, assicurarsi di verificare che le modifiche siano state propagate prima che i flussi di lavoro di produzione dipendano da esse. 

Per ulteriori informazioni su come alcuni altri AWS servizi ne risentono, consulta le seguenti risorse:
+ **Amazon DynamoDB**: [Consistenza di lettura](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/HowItWorks.ReadConsistency.html) nella *Guida per gli sviluppatori di DynamoDB* e [Consistenza di lettura](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/HowItWorks.ReadConsistency.html) nella Guida per gli sviluppatori di Amazon DynamoDB.
+ **Amazon EC2**: [Consistenza finale di EC2](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/query-api-troubleshooting.html#eventual-consistency) nella *Documentazione di riferimento dell'API Amazon EC2*.
+ **Amazon EMR**: [Garantire la consistenza quando si utilizzano Amazon S3 e Amazon EMR per flussi di lavoro ETL](https://aws.amazon.com/blogs/big-data/ensuring-consistency-when-using-amazon-s3-and-amazon-elastic-mapreduce-for-etl-workflows/) nel blog dei big data AWS 
+ **Amazon Redshift**: [Gestione della consistenza dei dati ](https://docs.aws.amazon.com/redshift/latest/dg/managing-data-consistency.html) nella *Guida per gli sviluppatori di Amazon Redshift Database*
+ **Amazon S3**: [Modello di consistenza dei dati di Amazon S3](https://docs.aws.amazon.com//AmazonS3/latest/userguide/Welcome.html#ConsistencyModel) nella *Guida per l'utente di Amazon Simple Storage Service*

## Non sono autorizzato a eseguire: iam: DeleteVirtual MFADevice
<a name="troubleshoot_general_access-denied-delete-mfa"></a>

Quando si tenta di assegnare o rimuovere un dispositivo MFA virtuale per sé stessi o altri, è possibile che venga visualizzato il seguente errore:

```
User: arn:aws:iam::123456789012:user/Diego is not authorized to perform: iam:DeleteVirtualMFADevice on resource: arn:aws:iam::123456789012:mfa/Diego with an explicit deny
```

Ciò può accadere se qualcuno in precedenza ha iniziato ad assegnare un dispositivo MFA virtuale a un utente nella console IAM e poi ha annullato il processo. Questa operazione crea un dispositivo MFA virtuale per l'utente in IAM, ma non lo assegna mai all'utente. Eliminare il dispositivo MFA virtuale esistente prima di poter creare un nuovo dispositivo MFA virtuale con lo stesso nome del dispositivo.

Per risolvere questo problema, un amministratore **non** dovrebbe modificare le policy di autorizzazioni. L'amministratore deve invece utilizzare l' AWS API AWS CLI o per eliminare il dispositivo MFA virtuale esistente ma non assegnato.

**Per eliminare un dispositivo MFA virtuale esistente, ma non assegnato**

1. Visualizzare i dispositivi MFA virtuali nel proprio account.
   + AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/list-virtual-mfa-devices.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-virtual-mfa-devices.html)
   + AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html)

1. Nella risposta, individuare l'ARN del dispositivo MFA virtuale dell'utente per il quale si sta tentando di correggere l'anomalia.

1. Eliminare il dispositivo MFA virtuale.
   + AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-virtual-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-virtual-mfa-device.html)
   + AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteVirtualMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteVirtualMFADevice.html)

## Come posso creare utenti IAM in modo sicuro?
<a name="troubleshoot_general_securely-create-iam-users"></a>

Se hai dipendenti che richiedono l'accesso a AWS, puoi scegliere di creare utenti IAM o [utilizzare IAM Identity Center per l'autenticazione](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html). Se utilizzi IAM, ti AWS consiglia di creare un utente IAM e di comunicare in modo sicuro le credenziali al dipendente. Se non ci si trova fisicamente accanto al dipendente, si consiglia di utilizzare un flusso di lavoro sicuro per comunicare le credenziali ai dipendenti.

Utilizza il seguente flusso di lavoro sicuro per creare un nuovo utente in IAM:

1. [Crea un nuovo utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) utilizzando la Console di gestione AWS. Scegli di concedere Console di gestione AWS l'accesso con una password generata. Se necessario, seleziona la casella di controllo accanto a **L'utente deve creare una nuova password all'accesso successivo**. Non aggiungere una policy di autorizzazione all'utente fino a quando non ha cambiato la password.

1. Dopo avere aggiunto l'utente, copia l'URL di accesso, il nome utente e la password per il nuovo utente. Per visualizzare la password, scegli **Mostra**.

1. Invia la password al tuo dipendente utilizzando un metodo di comunicazione sicuro della tua azienda, ad esempio e-mail, chat o un sistema di ticket. Separatamente, fornisci agli utenti il collegamento alla console utente IAM e il relativo nome utente. Chiedi al dipendente di confermare che riesce ad accedere correttamente prima di concedergli le autorizzazioni.

1. Dopo che il dipendente ha confermato, aggiungi le autorizzazioni necessarie. Come buona prassi di sicurezza, aggiungi una policy che richiede all'utente di autenticarsi utilizzando la MFA per gestire le proprie credenziali. Per un esempio di policy, consulta [AWS: consente agli utenti IAM autenticati con MFA di gestire le proprie credenziali nella pagina Credenziali di sicurezza](reference_policies_examples_aws_my-sec-creds-self-manage.md).

## Risorse aggiuntive
<a name="troubleshoot_general_resources"></a>

Le seguenti risorse possono aiutarti a risolvere i problemi mentre lavori con. AWS
+ **[AWS CloudTrail Guida per l'utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)**: consente AWS CloudTrail di tenere traccia di una cronologia delle chiamate API effettuate AWS e archiviare tali informazioni nei file di registro. Ciò consente di determinare quali utenti e account hanno effettuato l'accesso alle risorse nell'account, quando sono state effettuate le chiamate, quali operazioni sono state richieste e altro ancora. Per ulteriori informazioni, consulta [Registrazione delle chiamate IAM e AWS STS API con AWS CloudTrail](cloudtrail-integration.md).
+ **[AWS Knowledge Center](https://aws.amazon.com/premiumsupport/knowledge-center/)**: trova FAQs e collega altre risorse per aiutarti a risolvere i problemi.
+ **[AWS Centro assistenza](https://console.aws.amazon.com/support/home#/)**: ottieni supporto tecnico.
+ **[AWS Premium Support Center](https://aws.amazon.com/premiumsupport/)**: ottieni supporto tecnico premium.