Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Gestisci l'accesso alle risorse
<a name="access-control-manage-access-intro"></a>

La *policy delle autorizzazioni* descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.

**Nota**  
Questa sezione illustra l'utilizzo di IAM nel contesto di AWS Control Tower. Non vengono fornite informazioni dettagliate sul servizio IAM. Per la documentazione di IAM completa, consulta [Che cos'è IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) nella *Guida per l'utente di IAM*. Per informazioni sulla sintassi delle policy IAM e le rispettive descrizioni, consulta [Riferimento alle policy IAM di AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *Guida per l'utente di IAM*.

Le politiche associate a un'identità IAM sono denominate politiche *basate sull'identità (politiche IAM*). Le policy collegate a una risorsa vengono definite *policy basate sulle risorse*. 

**Nota**  
 AWS Control Tower supporta solo policy basate sull'identità (policy IAM). 

**Topics**
+ [Informazioni sulle politiche basate sull'identità (politiche IAM)](#access-control-manage-access-intro-iam-policies)
+ [Crea ruoli e assegna autorizzazioni](assign-permissions.md)
+ [Policy basate sulle risorse](#access-control-manage-access-intro-resource-policies)

## Informazioni sulle politiche basate sull'identità (politiche IAM)
<a name="access-control-manage-access-intro-iam-policies"></a>

Puoi collegare le policy alle identità IAM. Ad esempio, puoi eseguire le operazioni seguenti:
+ **Associa una policy di autorizzazioni a un utente o a un gruppo nel tuo account** — Per concedere a un utente le autorizzazioni per creare una risorsa AWS Control Tower, come la configurazione di una landing zone, puoi allegare una policy di autorizzazione a un utente o gruppo a cui appartiene l'utente.
+  **Collega una policy di autorizzazione a un ruolo (assegnazione di autorizzazioni tra account)**: per concedere autorizzazioni tra più account, è possibile collegare una policy di autorizzazione basata su identità a un ruolo IAM. Ad esempio, un amministratore di un AWS account (*Account A*) può creare un ruolo che concede autorizzazioni su più account a un altro AWS *account (Account B*) oppure l'amministratore può creare un ruolo che concede autorizzazioni a un altro AWS servizio.

  1. L'amministratore dell'Account A crea un ruolo IAM e attribuisce una politica di autorizzazioni al ruolo che concede le autorizzazioni per gestire le risorse nell'Account A.

  1. L'amministratore dell'account A attribuisce una politica di fiducia al ruolo. La politica identifica l'Account B come il principale che può assumere il ruolo.

  1. In qualità di principale, l'amministratore dell'Account B può concedere a qualsiasi utente dell'Account B il permesso di assumere il ruolo. Assumendo il ruolo, gli utenti dell'Account B possono creare o accedere alle risorse dell'Account A.

  1. Per concedere a un AWS servizio la capacità (autorizzazioni) di assumere il ruolo, il principale specificato nella politica di fiducia può essere un AWS servizio.

## Policy basate sulle risorse
<a name="access-control-manage-access-intro-resource-policies"></a>

Anche altri servizi, ad esempio Amazon S3, supportano policy di autorizzazioni basate su risorse. Ad esempio, è possibile associare una policy a un bucket S3 per gestire le autorizzazioni di accesso a quel bucket. AWS Control Tower non supporta policy basate sulle risorse.