Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Amministratore delegato per AWS Organizations
Ti consigliamo di utilizzare l'account di AWS Organizations gestione e i relativi utenti e ruoli solo per le attività che devono essere eseguite da quell'account. Consigliamo anche di archiviare tutte le risorse AWS in altri account membro nell'organizzazione ed escluderle dall'account di gestione. Questo perché le funzionalità di sicurezza come Organizations service control policies (SCPs) non limitano gli utenti o i ruoli nell'account di gestione.
Dall'account di gestione dell'organizzazione, puoi delegare la gestione delle policy di Organizations per gli account membro specificati in modo da eseguire operazioni di policy che sono disponibili per impostazione predefinita solo per l'account di gestione.
Ad esempio, politiche di delega basate sulle risorse, vedi. [Esempi di policy basate sulle risorse per AWS Organizations](security_iam_resource-based-policy-examples.md)
**Topics**
+ [Crea una politica di delega basata sulle risorse](orgs-policy-delegate.md)
+ [Aggiornare una politica di delega basata sulle risorse](orgs-policy-delegate-update.md)
+ [Visualizzazione di una policy di delega basata sulle risorse](view-delegated-resource-based-policy.md)
+ [Eliminazione di una policy di delega basata sulle risorse](delete-delegated-resource-based-policy.md)
# Crea una politica di delega basata sulle risorse con AWS Organizations
Dall'account di gestione, crea una politica di delega basata sulle risorse per la tua organizzazione e aggiungi una dichiarazione che specifichi quali account membri possono eseguire azioni sulle politiche. Puoi aggiungere più istruzioni nella policy per indicare un diverso set di autorizzazioni per gli account membri.
**Autorizzazioni minime**
Per creare la politica di delega basata sulle risorse, sono necessarie le autorizzazioni per eseguire le seguenti azioni:
`organizations:PutResourcePolicy`
`organizations:DescribeResourcePolicy`
Inoltre, devi concedere ai ruoli e agli utenti nell'account amministratore delegato le autorizzazioni IAM corrispondenti alle azioni richieste. Senza le autorizzazioni IAM, si presume che il principale chiamante non disponga delle autorizzazioni necessarie per gestire le policy. AWS Organizations
------
#### [ Console di gestione AWS ]
Aggiungi le istruzioni alla policy di delega basata sulle risorsa nella Console di gestione AWS utilizzando uno dei seguenti metodi:
+ **Politica JSON**: incolla e personalizza un esempio di politica di delega basata sulle risorse da utilizzare nel tuo account oppure digita il tuo documento di policy JSON nell'editor JSON.
+ **Editor visivo**: crea una nuova policy di delega nell'editor visivo che ti guidi nella creazione di una policy di delega senza dover scrivere una sintassi JSON.
**Usa l'editor di policy JSON per creare una politica di delega**
1. Accedi alla [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root ([non consigliato](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) nell'account di gestione dell'organizzazione.
1. Seleziona **Impostazioni**.
1. Nella sezione **Amministratore delegato per AWS Organizations**, scegli **Delega** per creare la policy di delega di Organizations.
1. Specificare un documento della policy JSON. Per dettagli sul linguaggio della policy IAM, consulta la [Documentazione di riferimento delle policy JSON IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies.html).
1. Risolvi eventuali [avvisi di sicurezza, errori o avvisi generali](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) generati durante la convalida delle policy, quindi scegli **Create policy** (Crea policy) per salvare il lavoro.
**Usa l'editor visivo per creare una politica di delega**
1. Accedi alla [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root ([non consigliato](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) nell'account di gestione dell'organizzazione.
1. Seleziona **Impostazioni**.
1. Nella sezione **Amministratore delegato per AWS Organizations**, scegli **Delega** per creare la policy di delega di Organizations.
1. Nella pagina **Create Delegation policy** (Crea politica di delega), scegli **Add new statement** (Aggiungi nuova istruzione).
1. Imposta **Effect** (Effetto) su `Allow`.
1. Aggiungi `Principal` per definire gli account dei membri a cui desideri delegare.
1. Dall'elenco di **operazioni**, scegli le operazioni che desideri delegare. Puoi utilizzare il campo **Filter actions** (Filtra operazioni) per limitare le scelte.
1. Per specificare se l'account membro delegato può allegare politiche alla radice o alle unità organizzative dell'organizzazione (OUs), imposta`Resources`. Dovrai inoltre selezionare `policy` come tipo di risorsa. È possibile specificare le risorse nei seguenti modi:
+ Scegli **Add a resource** (Aggiungi una risorsa) e crea il nome della risorsa Amazon (ARN) seguendo le istruzioni nella finestra di dialogo.
+ Elenca le risorse ARNs manualmente nell'editor. Per ulteriori informazioni sulla sintassi ARN, consulta [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) nella General Reference Guide. AWS Per informazioni sull'utilizzo ARNs dell'elemento risorsa di una policy, consulta [IAM JSON policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) elements: Resource.
1. Scegli **Add a condition** (Aggiungi una condizione) per specificare altre condizioni, incluso il tipo di policy che desideri delegare. Scegli la **chiave di condizione**, la **chiave di tag**, il **qualificatore** e l'**operatore**, quindi digita un **Value**. Una volta terminato, scegli **Add condition** (Aggiungi condizione). Per ulteriori informazioni sull'elemento **Condition**, consulta [Elementi della policy JSON IAM: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella Documentazione di riferimento delle policy JSON IAM.
1. Per aggiungere più blocchi di autorizzazioni, consulta **Add new statement** (Aggiungi nuova istruzione). Per ogni blocco, ripetere i passaggi da 5 a 9.
1. Risolvi eventuali [avvisi di sicurezza, errori o avvisi generali](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) generati durante la convalida delle policy, quindi scegli **Create policy** (Crea policy) per salvare il lavoro.
------
#### [ AWS CLI & AWS SDKs ]
**Crea una politica di delega**
È possibile utilizzare il seguente comando per creare una politica di delega:
+ AWS CLI: [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/put-resource-policy.html)
L'esempio seguente crea una politica di delega.
```
$ aws organizations put-resource-policy --content
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Fully_manage_backup_policies",
"Effect": "Allow",
"Principal": {
"AWS": "135791357913"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:CreatePolicy",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": [
"arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
"arn:aws:organizations::246802468024:ou/o-abcdef/*",
"arn:aws:organizations::246802468024:account/o-abcdef/*",
"arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
],
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": [
"BACKUP_POLICY"
]
}
}
}
]
}
```
+ AWS SDK: [PutResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_PutResourcePolicy.html)
------
**Operazioni di policy di delega supportate**
Le seguenti operazioni sono supportate per la policy di delega:
+ `AttachPolicy`
+ `CreatePolicy`
+ `DeletePolicy`
+ `DescribeAccount`
+ `DescribeCreateAccountStatus`
+ `DescribeEffectivePolicy`
+ `DescribeHandshake`
+ `DescribeOrganization`
+ `DescribeOrganizationalUnit`
+ `DescribePolicy`
+ `DescribeResourcePolicy`
+ `DetachPolicy`
+ `DisablePolicyType`
+ `EnablePolicyType`
+ `ListAccounts`
+ `ListAccountsForParent`
+ `ListAWSServiceAccessForOrganization`
+ `ListChildren`
+ `ListCreateAccountStatus`
+ `ListDelegatedAdministrators`
+ `ListDelegatedServicesForAccount`
+ `ListHandshakesForAccount`
+ `ListHandshakesForOrganization`
+ `ListOrganizationalUnitsForParent`
+ `ListParents`
+ `ListPolicies`
+ `ListPoliciesForTarget`
+ `ListRoots`
+ `ListTagsForResource`
+ `ListTargetsForPolicy`
+ `TagResource`
+ `UntagResource`
+ `UpdatePolicy`
**Chiavi di condizione supportate**
Solo le chiavi condizionali supportate da AWS Organizations possono essere utilizzate per la politica di delega. Per ulteriori informazioni, vedere [Condition keys for AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-policy-keys) nel *Service Authorization Reference*.
# Aggiorna una politica di delega basata sulle risorse con AWS Organizations
Dall'account di gestione, aggiorna una politica di delega basata sulle risorse per la tua organizzazione e aggiungi una dichiarazione che specifichi quali account membri possono eseguire azioni sulle politiche. Puoi aggiungere più istruzioni nella policy per indicare un diverso set di autorizzazioni per gli account membri.
**Autorizzazioni minime**
Per aggiornare la politica di delega basata sulle risorse, sono necessarie le autorizzazioni per eseguire le seguenti azioni:
`organizations:PutResourcePolicy`
`organizations:DescribeResourcePolicy`
Inoltre, devi concedere ai ruoli e agli utenti nell'account amministratore delegato le autorizzazioni IAM corrispondenti alle azioni richieste. Senza le autorizzazioni IAM, si presume che il principale chiamante non disponga delle autorizzazioni necessarie per gestire le policy. AWS Organizations
------
#### [ Console di gestione AWS ]
Aggiungi le istruzioni alla policy di delega basata sulle risorsa nella Console di gestione AWS utilizzando uno dei seguenti metodi:
+ **Politica JSON**: incolla e personalizza un esempio di politica di delega basata sulle risorse da utilizzare nel tuo account oppure digita il tuo documento di policy JSON nell'editor JSON.
+ **Editor visivo**: crea una nuova policy di delega nell'editor visivo che ti guidi nella creazione di una policy di delega senza dover scrivere una sintassi JSON.
**Utilizza l'editor di policy JSON per aggiornare una politica di delega**
1. Accedi alla [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root ([non consigliato](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) nell'account di gestione dell'organizzazione.
1. Seleziona **Impostazioni**.
1. Nella AWS Organizations sezione **Amministratore delegato per**, scegli **Modifica** per aggiornare la politica di delega di Organizations.
1. Specificare un documento della policy JSON. Per dettagli sul linguaggio della policy IAM, consulta la [Documentazione di riferimento delle policy JSON IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies.html).
1. **Risolvi eventuali [avvisi di sicurezza, errori o avvisi generali](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) generati durante la convalida delle politiche, quindi scegli Crea politica.**
**Usa l'editor visivo per aggiornare una politica di delega**
1. Accedi alla [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root ([non consigliato](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) nell'account di gestione dell'organizzazione.
1. Seleziona **Impostazioni**.
1. Nella AWS Organizations sezione **Amministratore delegato per**, scegli **Modifica** per aggiornare la politica di delega di Organizations.
1. Nella pagina **Create Delegation policy** (Crea politica di delega), scegli **Add new statement** (Aggiungi nuova istruzione).
1. Imposta **Effect** (Effetto) su `Allow`.
1. Aggiungi `Principal` per definire gli account dei membri a cui desideri delegare.
1. Dall'elenco di **operazioni**, scegli le operazioni che desideri delegare. Puoi utilizzare il campo **Filter actions** (Filtra operazioni) per limitare le scelte.
1. Per specificare se l'account membro delegato può allegare politiche alle unità principali o organizzative dell'organizzazione (OUs), imposta. `Resources` Dovrai inoltre selezionare `policy` come tipo di risorsa. È possibile specificare le risorse nei seguenti modi:
+ Scegli **Add a resource** (Aggiungi una risorsa) e crea il nome della risorsa Amazon (ARN) seguendo le istruzioni nella finestra di dialogo.
+ Elenca le risorse ARNs manualmente nell'editor. Per ulteriori informazioni sulla sintassi ARN, consulta [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) nella General Reference Guide. AWS Per informazioni sull'utilizzo ARNs dell'elemento risorsa di una policy, consulta [IAM JSON policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) elements: Resource.
1. Scegli **Add a condition** (Aggiungi una condizione) per specificare altre condizioni, incluso il tipo di policy che desideri delegare. Scegli la **chiave di condizione**, la **chiave di tag**, il **qualificatore** e l'**operatore**, quindi digita un **Value**. Una volta terminato, scegli **Add condition** (Aggiungi condizione). Per ulteriori informazioni sull'elemento **Condition**, consulta [Elementi della policy JSON IAM: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella Documentazione di riferimento delle policy JSON IAM.
1. Per aggiungere più blocchi di autorizzazioni, consulta **Add new statement** (Aggiungi nuova istruzione). Per ogni blocco, ripetere i passaggi da 5 a 9.
1. **Risolvi eventuali avvisi di sicurezza, errori o avvisi generali generati durante la [convalida della policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html), quindi scegli Salva policy.**
------
#### [ AWS CLI & AWS SDKs ]
**Creazione o aggiornamento di una policy di delega**
Per creare o aggiornare una policy di delega, puoi utilizzare il seguente comando:
+ AWS CLI: [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/put-resource-policy.html)
Nell'esempio seguente viene creata o aggiornata la policy di delega.
```
$ aws organizations put-resource-policy --content
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Fully_manage_backup_policies",
"Effect": "Allow",
"Principal": {
"AWS": "135791357913"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:CreatePolicy",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": [
"arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
"arn:aws:organizations::246802468024:ou/o-abcdef/*",
"arn:aws:organizations::246802468024:account/o-abcdef/*",
"arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
],
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": [
"BACKUP_POLICY"
]
}
}
}
]
}
```
+ AWS SDK: [PutResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_PutResourcePolicy.html)
------
**Operazioni di policy di delega supportate**
Le seguenti operazioni sono supportate per la policy di delega:
+ `AttachPolicy`
+ `CreatePolicy`
+ `DeletePolicy`
+ `DescribeAccount`
+ `DescribeCreateAccountStatus`
+ `DescribeEffectivePolicy`
+ `DescribeHandshake`
+ `DescribeOrganization`
+ `DescribeOrganizationalUnit`
+ `DescribePolicy`
+ `DescribeResourcePolicy`
+ `DetachPolicy`
+ `DisablePolicyType`
+ `EnablePolicyType`
+ `ListAccounts`
+ `ListAccountsForParent`
+ `ListAWSServiceAccessForOrganization`
+ `ListChildren`
+ `ListCreateAccountStatus`
+ `ListDelegatedAdministrators`
+ `ListDelegatedServicesForAccount`
+ `ListHandshakesForAccount`
+ `ListHandshakesForOrganization`
+ `ListOrganizationalUnitsForParent`
+ `ListParents`
+ `ListPolicies`
+ `ListPoliciesForTarget`
+ `ListRoots`
+ `ListTagsForResource`
+ `ListTargetsForPolicy`
+ `TagResource`
+ `UntagResource`
+ `UpdatePolicy`
**Chiavi di condizione supportate**
Solo le chiavi condizionali supportate da AWS Organizations possono essere utilizzate per la politica di delega. Per ulteriori informazioni, vedere [Condition keys for AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-policy-keys) nel *Service Authorization Reference*.
# Visualizza una politica di delega basata sulle risorse con AWS Organizations
Dall'account di gestione, visualizza la policy di delega basata sulle risorse dell'organizzazione per capire quali amministratori delegati hanno accesso per gestire quali tipi di policy.
**Autorizzazioni minime**
Per visualizzare la policy di delega basata sulle risorse, sono necessarie le autorizzazioni per eseguire l'operazione seguente: `organizations:DescribeResourcePolicy`.
------
#### [ Console di gestione AWS ]
**Visualizzazione di una policy di delega**
1. Accedi alla [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root ([non consigliato](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) nell'account di gestione dell'organizzazione.
1. Seleziona **Impostazioni**.
1. Nella sezione **Amministratore delegato per AWS Organizations**, scorri per visualizzare la policy di delega completa.
------
#### [ AWS CLI & AWS SDKs ]
**Visualizzazione di una policy di delega**
Per visualizzare una policy di delega, puoi utilizzare il seguente comando:
+ AWS CLI: [describe-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-resource-policy.html)
Nell'esempio seguente viene richiamata la policy.
```
$ aws organizations describe-resource-policy
```
+ AWS SDK: [DescribeResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeResourcePolicy.html)
------
# Elimina una politica di delega basata sulle risorse con AWS Organizations
Quando non è più necessario delegare la gestione delle policy nell'organizzazione, è possibile eliminare la policy di delega basata sulle risorse dall'account di gestione dell'organizzazione.
**Importante**
Se elimini una policy di delega basata sulle risorse, non potrai più ripristinarla.
**Autorizzazioni minime**
Per eliminare la policy di delega basata sulle risorse, sono necessarie le autorizzazioni per eseguire l'operazione seguente: `organizations:DeleteResourcePolicy`.
------
#### [ Console di gestione AWS ]
**Eliminazione di una policy di delega**
1. Accedi alla [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root ([non consigliato](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) nell'account di gestione dell'organizzazione.
1. Seleziona **Impostazioni**.
1. Nella sezione **Amministratore delegato per AWS Organizations**, scegli **Elimina**.
1. Nella finestra di dialogo di conferma **Delete policy**, digita **delete**. Quindi, scegli **Delete policy** (Elimina policy).
------
#### [ AWS CLI & AWS SDKs ]
**Eliminazione di una policy di delega**
Per eliminare una policy di delega, puoi utilizzare il seguente comando:
+ AWS CLI: [delete-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/delete-resource-policy.html)
Nell'esempio seguente la policy viene eliminata.
```
$ aws organizations delete-resource-policy
```
+ AWS SDK: [DeleteResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeleteResourcePolicy.html)
------