Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Esempi di politiche IAM per AWS Artifact le AWS regioni commerciali
Puoi creare politiche di autorizzazione che concedono autorizzazioni agli utenti IAM. Puoi concedere agli utenti l'accesso ai AWS Artifact report e la possibilità di accettare e scaricare gli accordi per conto di un singolo account o di un'organizzazione.
I seguenti esempi di policy mostrano le autorizzazioni che puoi assegnare agli utenti IAM in base al livello di accesso di cui hanno bisogno.
[Queste politiche sono applicabili nelle regioni commerciali AWS .](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#region) Per le politiche applicabili a AWS GovCloud (US) Regions, consulta [Esempi di politiche IAM per AWS Artifact in AWS GovCloud (US) Regions](https://docs.aws.amazon.com/artifact/latest/ug/example-govcloud-iam-policies.html)
+ [Esempi di politiche per gestire i AWS report con autorizzazioni granulari](#example-policy-manage-aws-reports-with-finegrained-permissions)
+ [Esempi di politiche per la gestione dei report di terze parti](#example-policy-manage-third-party-reports)
+ [Esempi di politiche per la gestione degli accordi](#example-policy-manage-agreements)
+ [Politiche di esempio con cui integrarsi AWS Organizations](#example-policy-integrate-with-organizations)
+ [Esempi di politiche per la gestione degli accordi per l'account di gestione](#example-policy-agreements-master)
+ [Esempi di politiche per la gestione degli accordi organizzativi](#example-policy-organizational-agreements)
+ [Esempi di politiche per la gestione delle notifiche](#example-policy-notifications)
**Example Esempi di politiche per gestire i AWS report tramite autorizzazioni granulari**
È consigliabile prendere in considerazione l'utilizzo della [politica AWSArtifact ReportsReadOnlyAccess gestita](security-iam-awsmanpol.html) anziché definire una politica personalizzata.
La seguente politica concede l'autorizzazione a scaricare tutti i AWS report tramite autorizzazioni granulari.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:ListReports",
"artifact:GetReportMetadata",
"artifact:GetReport",
"artifact:GetTermForReport",
"artifact:ListReportVersions"
],
"Resource": "*"
}
]
}
```
La seguente politica concede l'autorizzazione a scaricare solo i report AWS SOC, PCI e ISO tramite autorizzazioni dettagliate.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:ListReports"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"artifact:GetReportMetadata",
"artifact:GetReport",
"artifact:GetTermForReport",
"artifact:ListReportVersions"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"artifact:ReportSeries": [
"SOC",
"PCI",
"ISO"
],
"artifact:ReportCategory": [
"Certifications and Attestations"
]
}
}
}
]
}
```
**Example Esempi di politiche per la gestione dei report di terze parti**
È consigliabile prendere in considerazione l'utilizzo della [politica AWSArtifact ReportsReadOnlyAccess gestita](security-iam-awsmanpol.html) anziché definire una politica personalizzata.
I report di terze parti sono indicati dalla risorsa `report` IAM.
La seguente politica concede l'autorizzazione a tutte le funzionalità di report di terze parti.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:ListReports",
"artifact:GetReportMetadata",
"artifact:GetReport",
"artifact:GetTermForReport"
],
"Resource": "*"
}
]
}
```
La seguente politica concede l'autorizzazione a scaricare report di terze parti.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:GetReport",
"artifact:GetTermForReport"
],
"Resource": "*"
}
]
}
```
La seguente politica concede l'autorizzazione a pubblicare report di terze parti.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:ListReports"
],
"Resource": "*"
}
]
}
```
La seguente politica concede l'autorizzazione a visualizzare i dettagli di un rapporto di terze parti per tutte le versioni.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:GetReportMetadata"
],
"Resource": [
"arn:aws:artifact:us-east-1::report/report-jRVRFP8HxUN5zpPh:*"
]
}
]
}
```
La seguente politica concede l'autorizzazione a visualizzare i dettagli di un rapporto di terze parti per una versione specifica.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:GetReportMetadata"
],
"Resource": [
"arn:aws:artifact:us-east-1::report/report-jRVRFP8HxUN5zpPh:1"
]
}
]
}
```
**Suggerimento**
È consigliabile prendere in considerazione l'utilizzo della politica [AWSArtifactAgreementsReadOnlyAccess o della politica AWSArtifact AgreementsFullAccess gestita](security-iam-awsmanpol.html) anziché definire la propria politica.
**Example Esempi di politiche per la gestione degli accordi**
La seguente politica concede l'autorizzazione a scaricare tutti gli accordi.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:ListAgreements",
"artifact:ListCustomerAgreements"
],
"Resource": [
"*"
]
},
{
"Sid": "AWSAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetAgreement",
"artifact:AcceptNdaForAgreement",
"artifact:GetNdaForAgreement"
],
"Resource": "arn:aws:artifact:::agreement/*"
},
{
"Sid": "CustomerAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetCustomerAgreement"
],
"Resource": "arn:aws:artifact::*:customer-agreement/*"
}
]
}
```
La seguente politica concede l'autorizzazione ad accettare tutti gli accordi.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:ListAgreements"
],
"Resource": [
"*"
]
},
{
"Sid": "AWSAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetAgreement",
"artifact:AcceptNdaForAgreement",
"artifact:GetNdaForAgreement",
"artifact:AcceptAgreement"
],
"Resource": "arn:aws:artifact:::agreement/*"
}
]
}
```
La seguente politica concede l'autorizzazione a risolvere tutti gli accordi.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:ListAgreements",
"artifact:ListCustomerAgreements"
],
"Resource": "*"
},
{
"Sid": "CustomerAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetCustomerAgreement",
"artifact:TerminateAgreement"
],
"Resource": "arn:aws:artifact::*:customer-agreement/*"
}
]
}
```
La seguente politica concede le autorizzazioni per visualizzare ed eseguire accordi a livello di account.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:ListAgreements",
"artifact:ListCustomerAgreements"
],
"Resource": "*"
},
{
"Sid": "AWSAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetAgreement",
"artifact:AcceptNdaForAgreement",
"artifact:GetNdaForAgreement",
"artifact:AcceptAgreement"
],
"Resource": "arn:aws:artifact:::agreement/*"
},
{
"Sid": "CustomerAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetCustomerAgreement",
"artifact:TerminateAgreement"
],
"Resource": "arn:aws:artifact::*:customer-agreement/*"
}
]
}
```
**Example Politiche di esempio con cui integrarsi AWS Organizations**
La seguente policy concede l'autorizzazione a creare il ruolo IAM con AWS Artifact AWS Organizations cui effettuare l'integrazione. L'account di gestione dell'organizzazione deve disporre di queste autorizzazioni per iniziare con gli accordi organizzativi.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateServiceLinkedRoleForOrganizationsIntegration",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/artifact.amazonaws.com/AWSServiceRoleForArtifact",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"artifact.amazonaws.com"
]
}
}
}
]
}
```
La seguente politica concede l'autorizzazione a concedere AWS Artifact le autorizzazioni di utilizzo. AWS Organizations L'account di gestione dell'organizzazione deve disporre di queste autorizzazioni per iniziare con gli accordi organizzativi.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
},
{
"Sid": "EnableServiceTrustForArtifact",
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"aws-artifact-account-sync.amazonaws.com"
]
}
}
}
]
}
```
**Example Esempi di politiche per la gestione degli accordi per l'account di gestione**
La seguente politica concede le autorizzazioni per la gestione degli accordi per l'account di gestione.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:ListAgreements",
"artifact:ListCustomerAgreements"
],
"Resource": "*"
},
{
"Sid": "AWSAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetAgreement",
"artifact:AcceptNdaForAgreement",
"artifact:GetNdaForAgreement",
"artifact:AcceptAgreement"
],
"Resource": "arn:aws:artifact:::agreement/*"
},
{
"Sid": "CustomerAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetCustomerAgreement",
"artifact:TerminateAgreement"
],
"Resource": "arn:aws:artifact::*:customer-agreement/*"
},
{
"Sid": "CreateServiceLinkedRoleForOrganizationsIntegration",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/artifact.amazonaws.com/AWSServiceRoleForArtifact",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"artifact.amazonaws.com"
]
}
}
},
{
"Sid": "EnableServiceTrust",
"Effect": "Allow",
"Action": [
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganization"
],
"Resource": "*"
},
{
"Sid": "EnableServiceTrustForArtifact",
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"aws-artifact-account-sync.amazonaws.com"
]
}
}
}
]
}
```
**Example Esempi di politiche per la gestione degli accordi organizzativi**
La seguente politica concede le autorizzazioni per la gestione degli accordi organizzativi. Un altro utente con le autorizzazioni richieste deve configurare gli accordi organizzativi.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:ListAgreements",
"artifact:ListCustomerAgreements"
],
"Resource": "*"
},
{
"Sid": "AWSAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetAgreement",
"artifact:AcceptNdaForAgreement",
"artifact:GetNdaForAgreement",
"artifact:AcceptAgreement"
],
"Resource": "arn:aws:artifact:::agreement/*"
},
{
"Sid": "CustomerAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetCustomerAgreement",
"artifact:TerminateAgreement"
],
"Resource": "arn:aws:artifact::*:customer-agreement/*"
},
{
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization"
],
"Resource": "*"
}
]
}
```
La seguente politica concede le autorizzazioni per visualizzare gli accordi organizzativi.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:ListAgreements",
"artifact:ListCustomerAgreements"
],
"Resource": "*"
},
{
"Sid": "AWSAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetAgreement",
"artifact:AcceptNdaForAgreement",
"artifact:GetNdaForAgreement"
],
"Resource": "arn:aws:artifact:::agreement/*"
},
{
"Sid": "CustomerAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetCustomerAgreement"
],
"Resource": "arn:aws:artifact::*:customer-agreement/*"
},
{
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization"
],
"Resource": "*"
}
]
}
```
**Example Esempi di politiche per la gestione delle notifiche**
La seguente politica concede le autorizzazioni complete per l'utilizzo AWS Artifact delle notifiche.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:GetAccountSettings",
"artifact:PutAccountSettings",
"notifications:AssociateChannel",
"notifications:CreateEventRule",
"notifications:CreateNotificationConfiguration",
"notifications:DeleteEventRule",
"notifications:DeleteNotificationConfiguration",
"notifications:DisassociateChannel",
"notifications:GetEventRule",
"notifications:GetNotificationConfiguration",
"notifications:ListChannels",
"notifications:ListEventRules",
"notifications:ListNotificationConfigurations",
"notifications:ListNotificationHubs",
"notifications:ListTagsForResource",
"notifications:TagResource",
"notifications:UntagResource",
"notifications:UpdateEventRule",
"notifications:UpdateNotificationConfiguration",
"notifications-contacts:CreateEmailContact",
"notifications-contacts:DeleteEmailContact",
"notifications-contacts:GetEmailContact",
"notifications-contacts:ListEmailContacts",
"notifications-contacts:SendActivationCode"
],
"Resource": [
"*"
]
}
]
}
```
La seguente politica concede l'autorizzazione a elencare tutte le configurazioni.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:GetAccountSettings",
"notifications:ListChannels",
"notifications:ListEventRules",
"notifications:ListNotificationConfigurations",
"notifications:ListNotificationHubs",
"notifications-contacts:GetEmailContact"
],
"Resource": [
"*"
]
}
]
}
```
La seguente politica concede il permesso di creare una configurazione.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:GetAccountSettings",
"artifact:PutAccountSettings",
"notifications-contacts:CreateEmailContact",
"notifications-contacts:SendActivationCode",
"notifications:AssociateChannel",
"notifications:CreateEventRule",
"notifications:CreateNotificationConfiguration",
"notifications:ListEventRules",
"notifications:ListNotificationHubs",
"notifications:TagResource",
"notifications-contacts:ListEmailContacts"
],
"Resource": [
"*"
]
}
]
}
```
La seguente politica concede il permesso di modificare una configurazione.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:GetAccountSettings",
"artifact:PutAccountSettings",
"notifications:AssociateChannel",
"notifications:DisassociateChannel",
"notifications:GetNotificationConfiguration",
"notifications:ListChannels",
"notifications:ListEventRules",
"notifications:ListTagsForResource",
"notifications:TagResource",
"notifications:UntagResource",
"notifications:UpdateEventRule",
"notifications:UpdateNotificationConfiguration",
"notifications-contacts:GetEmailContact",
"notifications-contacts:ListEmailContacts"
],
"Resource": [
"*"
]
}
]
}
```
La seguente politica concede il permesso di eliminare una configurazione.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"notifications:DeleteNotificationConfiguration",
"notifications:ListEventRules"
],
"Resource": [
"*"
]
}
]
}
```
La seguente politica concede il permesso di visualizzare i dettagli di una configurazione.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"notifications:GetNotificationConfiguration",
"notifications:ListChannels",
"notifications:ListEventRules",
"notifications:ListTagsForResource",
"notifications-contacts:GetEmailContact"
],
"Resource": [
"*"
]
}
]
}
```
La seguente politica concede l'autorizzazione a registrare o annullare la registrazione degli hub di notifica.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"notifications:DeregisterNotificationHub",
"notifications:RegisterNotificationHub"
],
"Resource": [
"*"
]
}
]
}
```