Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Politiche di controllo delle risorse (RCPs)
<a name="orgs_manage_policies_rcps"></a>

**Nota**  
**Politiche di controllo dei servizi (SCPs) e politiche di controllo delle risorse () RCPs**  
Utilizza un SCP quando devi limitare le autorizzazioni dei responsabili IAM all'interno degli account dei membri della tua organizzazione.  
Utilizza un RCP quando devi limitare i responsabili IAM esterni agli account dell'organizzazione che effettuano richieste di accesso alle risorse all'interno degli account dei membri dell'organizzazione.  
Per ulteriori informazioni, consulta [Understanding SCPs ](orgs_manage_policies_authorization_policies.md) and. RCPs

Le politiche di controllo delle risorse (RCPs) sono un tipo di politica organizzativa che è possibile utilizzare per gestire le autorizzazioni all'interno dell'organizzazione. RCPs offrono il controllo centralizzato sulle autorizzazioni massime disponibili per le risorse dell'organizzazione. RCPs ti aiutano a garantire che le risorse dei tuoi account rispettino le linee guida per il controllo degli accessi della tua organizzazione. RCPs sono disponibili solo in un'organizzazione che ha [tutte le funzionalità abilitate](orgs_manage_org_support-all-features.md). RCPs non sono disponibili se l'organizzazione ha abilitato solo le funzionalità di fatturazione consolidata. Per istruzioni sull'attivazione RCPs, consulta. [Abilitazione di un tipo di policy](enable-policy-type.md)

RCPs da soli non sono sufficienti a concedere le autorizzazioni alle risorse dell'organizzazione. Nessun permesso viene concesso da un RCP. Un RCP definisce una barriera di autorizzazioni, o impone dei limiti, alle azioni che le identità possono intraprendere sulle risorse delle organizzazioni. L'amministratore deve comunque collegare politiche basate sull'identità agli utenti o ai ruoli IAM o politiche basate sulle risorse alle risorse dei tuoi account per concedere effettivamente le autorizzazioni. *Per ulteriori informazioni, consulta Politiche basate sull'[identità e politiche basate sulle risorse nella Guida per l'utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html).*

Le [autorizzazioni effettive](#rcp-effects-on-permissions) sono l'intersezione logica tra ciò che è consentito dalle politiche di [controllo del servizio (SCPs) RCPs e ciò che è consentito dalle politiche basate sull'identità](orgs_manage_policies_scps.md) e sulle risorse.

**RCPs non influiscono sulle risorse dell'account di gestione**  
RCPs non influiscono sulle risorse dell'account di gestione. Influiscono solo sulle risorse degli account dei membri all'interno dell'organizzazione. Ciò significa che RCPs si applicano anche agli account dei membri designati come amministratori delegati.

****Argomenti in questa pagina****
+ [Elenco di tale supporto Servizi AWS RCPs](#rcp-supported-services)
+ [Effetti dei test di RCPs](#rcp-warning-testing-effect)
+ [Dimensione massima di RCPs](#rcp-size-limit)
+ [Collegamento RCPs a diversi livelli dell'organizzazione](#rcp-about-inheritance)
+ [Effetti RCP sulle autorizzazioni](#rcp-effects-on-permissions)
+ [Risorse ed entità non limitate da RCPs](#actions-not-restricted-by-rcps)
+ [Valutazione RCP](orgs_manage_policies_rcps_evaluation.md)
+ [Sintassi delle RCP](orgs_manage_policies_rcps_syntax.md)
+ [Esempi di policy di controllo delle risorse](orgs_manage_policies_rcps_examples.md)

## Elenco di tale supporto Servizi AWS RCPs
<a name="rcp-supported-services"></a>

RCPs si applicano alle azioni relative a quanto segue Servizi AWS:
+ [Amazon S3](https://docs.aws.amazon.com/s3)
+ [AWS Security Token Service](https://docs.aws.amazon.com/iam)
+ [AWS Key Management Service](https://docs.aws.amazon.com/kms)
+ [Amazon SQS](https://docs.aws.amazon.com/sqs)
+ [Gestione dei segreti AWS](https://docs.aws.amazon.com/secretsmanager)
+ [Amazon Cognito](https://docs.aws.amazon.com/cognito)
+ [ CloudWatch Registri Amazon](https://docs.aws.amazon.com/cloudwatch)
+ [Amazon DynamoDB](https://docs.aws.amazon.com/dynamodb)
+ [Amazon Elastic Container Registry](https://docs.aws.amazon.com/ecr)
+ [Amazon OpenSearch Serverless](https://docs.aws.amazon.com/opensearch-service)

## Effetti dei test di RCPs
<a name="rcp-warning-testing-effect"></a>

AWS ti consiglia vivamente di non dedicarti RCPs alla radice della tua organizzazione senza aver testato a fondo l'impatto che la politica ha sulle risorse dei tuoi account. Puoi iniziare collegandoti RCPs ai singoli account di prova, spostandoli verso l' OUs alto nella gerarchia e poi avanzando all'interno della struttura organizzativa, se necessario. Un modo per determinarne l'impatto consiste nell'esaminare AWS CloudTrail i log per verificare la presenza di errori di accesso negato.

## Dimensione massima di RCPs
<a name="rcp-size-limit"></a>

Tutti i caratteri del tuo RCP vengono conteggiati ai fini [della dimensione massima](orgs_reference_limits.md#min-max-values). Gli esempi di questa guida mostrano i caratteri RCPs formattati con spazi bianchi aggiuntivi per migliorarne la leggibilità. Tuttavia, per risparmiare spazio se la dimensione della policy è prossima alla dimensione massima, puoi eliminare qualsiasi spazio vuoto, come i caratteri spazio e le interruzioni di linea che si trovano al di fuori delle virgolette.

**Suggerimento**  
Usa l'editor visivo per creare il tuo RCP. Rimuove automaticamente lo spazio vuoto aggiuntivo.

## Collegamento RCPs a diversi livelli dell'organizzazione
<a name="rcp-about-inheritance"></a>

È possibile RCPs collegarlo direttamente ai singoli account o alla radice dell'organizzazione. OUs Per una spiegazione dettagliata del RCPs funzionamento, consulta[Valutazione RCP](orgs_manage_policies_rcps_evaluation.md).

## Effetti RCP sulle autorizzazioni
<a name="rcp-effects-on-permissions"></a>

RCPs sono un tipo di politica AWS Identity and Access Management (IAM). Sono strettamente correlate alle politiche basate [sulle risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html). Tuttavia, un RCP non concede mai le autorizzazioni. RCPs Sono invece controlli di accesso che specificano le autorizzazioni massime disponibili per le risorse dell'organizzazione. Per ulteriori informazioni, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *Guida per l’utente di IAM*.
+ RCPs si applicano alle risorse per un sottoinsieme di. Servizi AWS Per ulteriori informazioni, consulta [Elenco di tale supporto Servizi AWS RCPs](#rcp-supported-services).
+ RCPs ***riguardano solo le risorse*** gestite da account che fanno parte dell'organizzazione che ha allegato il RCPs. Non influiscono sulle risorse degli account esterni all'organizzazione. Ad esempio, considera un bucket Amazon S3 di proprietà dell'account A di un'organizzazione. La bucket policy (una politica basata sulle risorse) consente l'accesso agli utenti dell'Account B esterni all'organizzazione. All'account A è associato un RCP. Tale RCP si applica al bucket S3 nell'Account A anche quando vi accedono utenti dell'Account B. Tuttavia, tale RCP non si applica alle risorse dell'Account B quando vi accedono gli utenti dell'Account A.
+ Un RCP limita le autorizzazioni per le risorse negli account dei membri. Qualsiasi risorsa in un account dispone solo delle autorizzazioni consentite da ***ogni*** genitore superiore. Se un'autorizzazione è bloccata a qualsiasi livello superiore a quello dell'account, una risorsa nell'account interessato non dispone di tale autorizzazione, anche se il proprietario della risorsa stabilisce una politica basata sulle risorse che consente l'accesso completo a qualsiasi utente.
+ RCPs si applicano alle risorse autorizzate come parte di una richiesta operativa. Queste risorse sono disponibili nella colonna «Tipo di risorsa» della tabella Azione del [Service Authorization Reference](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html#actions_table). Se una risorsa è specificata nella colonna «Tipo di risorsa», viene applicato l'account principale chiamante. RCPs Ad esempio, `s3:GetObject` autorizza la risorsa oggetto. Ogni volta che viene effettuata una `GetObject` richiesta, verrà applicato un RCP applicabile per determinare se il principale richiedente può richiamare l'operazione. `GetObject` Un *RCP applicabile* è un RCP collegato a un account, a un'unità organizzativa (OU) o alla radice dell'organizzazione proprietaria della risorsa a cui si accede.
+ RCPs influiscono solo sulle risorse degli account dei ***membri*** dell'organizzazione. Non hanno alcun effetto sulle risorse dell'account di gestione. Ciò significa che RCPs si applicano anche agli account dei membri designati come amministratori delegati. Per ulteriori informazioni, consulta [Best practice per l'account di gestione](orgs_best-practices_mgmt-acct.md).
+ Quando un principale effettua una richiesta di accesso a una risorsa all'interno di un account a cui è collegato un RCP (una risorsa con un RCP applicabile), l'RCP viene incluso nella logica di valutazione delle politiche per determinare se al principale è consentito o negato l'accesso.
+ RCPs influiscono sulle autorizzazioni effettive dei responsabili che cercano di accedere alle risorse in un account membro con un RCP applicabile, indipendentemente dal fatto che i responsabili appartengano o meno alle stesse organizzazioni. Ciò include gli utenti root. L'eccezione è quando i principali sono ruoli collegati ai servizi perché RCPs non si applicano alle chiamate effettuate da ruoli collegati ai servizi. I ruoli collegati ai servizi consentono di eseguire le azioni necessarie Servizi AWS per conto dell'utente e non possono essere limitati. RCPs 
+ Agli utenti e ai ruoli devono comunque essere concesse le autorizzazioni con politiche di autorizzazione IAM appropriate, comprese le politiche basate sull'identità e sulle risorse. Un utente o un ruolo senza alcuna policy di autorizzazione IAM non ha accesso, anche se un RCP applicabile consente tutti i servizi, tutte le azioni e tutte le risorse.

## Risorse ed entità non limitate da RCPs
<a name="actions-not-restricted-by-rcps"></a>

***Non è possibile*** utilizzare RCPs per limitare quanto segue:
+ Qualsiasi azione sulle risorse dell'account di gestione.
+ RCPs non influiscono sulle autorizzazioni effettive di alcun ruolo collegato al servizio. I ruoli collegati ai servizi sono un tipo unico di ruolo IAM collegato direttamente a un AWS servizio e includono tutte le autorizzazioni necessarie al servizio per chiamare altri servizi per tuo conto. AWS Le autorizzazioni dei ruoli collegati ai servizi non possono essere limitate da. RCPs RCPs inoltre non influiscono sulla capacità AWS dei servizi di assumere un ruolo collegato ai servizi; vale a dire, anche la politica di fiducia del ruolo collegato ai servizi non è influenzata da. RCPs
+ RCPs [non si applicano a for.Chiavi gestite da AWSAWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) Chiavi gestite da AWS vengono creati, gestiti e utilizzati per tuo conto da un Servizio AWS. Non puoi modificare o gestire le loro autorizzazioni.
+ RCPs non influiscono sulle seguenti autorizzazioni:  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/organizations/latest/userguide/orgs_manage_policies_rcps.html)

# Valutazione RCP
<a name="orgs_manage_policies_rcps_evaluation"></a>

**Nota**  
Le informazioni contenute in questa sezione ***non*** si applicano ai tipi di policy di gestione, incluse le politiche di backup, le politiche di tag, le politiche delle applicazioni di chat o le politiche di opt-out dei servizi AI. Per ulteriori informazioni, consulta [Comprendere l'ereditarietà delle policy di gestione](orgs_manage_policies_inheritance_mgmt.md).

Poiché puoi allegare più politiche di controllo delle risorse (RCPs) a diversi livelli AWS Organizations, comprendere come RCPs vengono valutate può aiutarti a scrivere RCPs il risultato giusto.

## Strategia di utilizzo RCPs
<a name="how_rcps_deny"></a>

La `RCPFullAWSAccess` politica è una politica AWS gestita. Viene automaticamente collegata alla radice dell'organizzazione, a ogni unità organizzativa e a ogni account dell'organizzazione, quando si abilitano le politiche di controllo delle risorse (RCPs). Non è possibile scollegare questa politica. Questo RCP predefinito consente a tutti i principali e alle azioni di passare attraverso la valutazione RCP, il che significa che fino a quando non inizi a creare e allegare RCPs, tutte le autorizzazioni IAM esistenti continuano a funzionare come facevano. Questa policy AWS gestita non concede l'accesso.

È possibile utilizzare le `Deny` istruzioni per bloccare l'accesso alle risorse dell'organizzazione. Affinché venga **negata** l'autorizzazione per una risorsa in un account specifico, **qualsiasi RCP** dalla radice a ciascuna unità organizzativa nel percorso diretto verso l'account (incluso l'account di destinazione stesso) può negare tale autorizzazione.

`Deny`le dichiarazioni sono uno strumento efficace per implementare restrizioni che dovrebbero valere per una parte più ampia dell'organizzazione. Ad esempio, è possibile allegare una politica per impedire che identità esterne all'organizzazione accedano alle risorse a livello principale. Tale politica sarà valida per tutti gli account dell'organizzazione. AWS consiglia vivamente di non RCPs collegarsi alla radice dell'organizzazione senza aver testato a fondo l'impatto che la politica ha sulle risorse dei propri account. Per ulteriori informazioni, consulta [Effetti dei test di RCPs](orgs_manage_policies_rcps.md#rcp-warning-testing-effect).

Nella Figura 1, all'unità organizzativa di produzione è allegato un RCP con una `Deny` dichiarazione esplicita specificata per un determinato servizio. Di conseguenza, sia all'Account A che all'Account B verrà negato l'accesso al servizio in quanto una politica di rifiuto associata a qualsiasi livello dell'organizzazione viene valutata per tutti gli account OUs e i membri sottostanti.

![\[Esempio di struttura organizzativa con una dichiarazione di rifiuto allegata a Production OU e relativo impatto sull'Account A e sull'Account B\]](http://docs.aws.amazon.com/it_it/organizations/latest/userguide/images/rcp_deny_1.png)


*Figura 1: Esempio di struttura organizzativa con una `Deny` dichiarazione allegata a Production OU e relativo impatto sull'Account A e sull'Account B*

# Sintassi delle RCP
<a name="orgs_manage_policies_rcps_syntax"></a>

Le politiche di controllo delle risorse (RCPs) utilizzano una sintassi simile a quella utilizzata dalle politiche basate sulle [risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based). Per ulteriori informazioni sulle policy IAM consulta [Panoramica sulle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l'utente di IAM*.

[Un RCP è strutturato secondo le regole di JSON.](http://json.org) Utilizza gli elementi descritti in questo argomento.

**Nota**  
[Tutti i caratteri del tuo RCP vengono conteggiati ai fini della sua dimensione massima.](orgs_reference_limits.md#min-max-values) Gli esempi di questa guida mostrano i caratteri RCPs formattati con spazi bianchi aggiuntivi per migliorarne la leggibilità. Tuttavia, per risparmiare spazio se la dimensione della policy è prossima alla dimensione massima, puoi eliminare qualsiasi spazio vuoto, come i caratteri spazio e le interruzioni di linea che si trovano al di fuori delle virgolette.

Per informazioni generali su RCPs, vedere. [Politiche di controllo delle risorse (RCPs)](orgs_manage_policies_rcps.md)

## Riepilogo degli elementi
<a name="rcp-elements-table"></a>

La tabella seguente riassume gli elementi della politica che è possibile utilizzare in RCPs.

**Nota**  
**L'effetto di `Allow` è supportato solo per la politica `RCPFullAWSAccess`**  
L'effetto di `Allow` è supportato solo per la `RCPFullAWSAccess` politica. Questa politica viene automaticamente allegata alla radice dell'organizzazione, a ogni unità organizzativa e a ogni account dell'organizzazione, quando si abilitano le politiche di controllo delle risorse (RCPs). Non è possibile scollegare questa politica. Questo RCP predefinito consente a tutti i principali e alle azioni di passare attraverso la valutazione RCP, il che significa che fino a quando non inizi a creare e allegare RCPs, tutte le autorizzazioni IAM esistenti continuano a funzionare come facevano. Questo non concede l'accesso.


| Elemento | Scopo | 
| --- | --- | 
| [Versione](#rcp-syntax-version) | Specifica le regole di sintassi del linguaggio da utilizzare per elaborare la policy. | 
| [Statement](#rcp-syntax-statement) | Serve da container per gli elementi di policy. È possibile inserire più istruzioni RCPs. | 
| [Statement ID (Sid)](#rcp-syntax-sid) | (Facoltativo) Fornisce un nome semplice per l'istruzione. | 
| [Effetto](#rcp-syntax-effect) | Definisce se l'istruzione RCP nega l'accesso alle risorse di un account. | 
| [Principale](#rcp-syntax-principal) | Speciifica il principale a cui è consentito o negato l'accesso alle risorse di un account. | 
|  [Azione](#rcp-syntax-action)  |  Specifica AWS il servizio e le azioni consentite o negate dall'RCP.  | 
| [Risorsa](#rcp-syntax-resource) | Speciifica le AWS risorse a cui si applica l'RCP. | 
| [NotResource](#rcp-syntax-resource) |  Speciifica le AWS risorse che sono esenti dall'RCP. Utilizzato invece dell'elemento `Resource`.  | 
| [Condition](#rcp-syntax-condition) | Specifica le condizioni che stabiliscono quando l'istruzione è attiva. | 

**Topics**
+ [Riepilogo degli elementi](#rcp-elements-table)
+ [Elemento `Version`](#rcp-syntax-version)
+ [Elemento `Statement`](#rcp-syntax-statement)
+ [Elemento Statement ID (`Sid`)](#rcp-syntax-sid)
+ [Elemento `Effect`](#rcp-syntax-effect)
+ [Elemento `Principal`](#rcp-syntax-principal)
+ [Elemento `Action`](#rcp-syntax-action)
+ [Elementi `Resource` e `NotResource`](#rcp-syntax-resource)
+ [Elemento `Condition`](#rcp-syntax-condition)
+ [Elementi non supportati](#rcp-syntax-unsupported)

## Elemento `Version`
<a name="rcp-syntax-version"></a>

Ogni RCP deve includere un `Version` elemento con il valore. **"2012-10-17"** Questo è lo stesso valore di versione della versione più recente delle policy di autorizzazione IAM:

Per ulteriori informazioni, consulta [Elementi delle policy JSON IAM: Version](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html) nella *Guida per l'utente di IAM*.

## Elemento `Statement`
<a name="rcp-syntax-statement"></a>

Un RCP è composto da uno o più `Statement` elementi. È possibile avere una sola parola chiave `Statement` in una policy, ma il valore può essere una matrice JSON di istruzioni (circondata da caratteri [ ]).

L'esempio seguente mostra una singola istruzione composta da `Resource` elementi singoli `Effect``Principal`,`Action`, e.

```
 {
    "Statement": {
        "Effect": "Deny",
        "Principal": "*",
        "Action": "s3:PutBucketPublicAccessBlock",
        "Resource": "*"
    }
}
```

Per ulteriori informazioni, consulta [Elementi delle policy JSON IAM: Statement](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_statement.html) nella *Guida per l'utente di IAM*.

## Elemento Statement ID (`Sid`)
<a name="rcp-syntax-sid"></a>

`Sid` è un identificatore opzionale fornito per l'istruzione della policy. Puoi assegnare un valore `Sid` a ogni istruzione in una matrice di istruzioni. L'esempio seguente RCP mostra un'`Sid`istruzione di esempio. 

```
{
    "Statement": {
        "Sid": "DenyBPAConfigurations",
        "Effect": "Deny",
        "Principal": "*",
        "Action": "s3:PutBucketPublicAccessBlock",
        "Resource": "*"
    }
}
```

Per ulteriori informazioni, consulta [IAM JSON Policy Elements: Sid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_sid.html) nella *IAM* User Guide.

## Elemento `Effect`
<a name="rcp-syntax-effect"></a>

Ogni istruzione deve contenere un elemento `Effect`. Utilizzando il valore di `Deny` nell'`Effect`elemento, puoi limitare l'accesso a risorse specifiche o definire le condizioni relative al momento in cui RCPs entrano in vigore. Per RCPs ciò che crei, il valore deve essere`Deny`. Per ulteriori informazioni, consulta [Valutazione RCP](orgs_manage_policies_rcps_evaluation.md) e [IAM JSON Policy Elements: Effect](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html) in the *IAM User Guide*.

## Elemento `Principal`
<a name="rcp-syntax-principal"></a>

Ogni istruzione deve contenere l'`Principal`elemento. È possibile specificare «`*`» solo nell'`Principal`elemento di un RCP. Utilizzate l'`Conditions`elemento per limitare i principi specifici.

Per ulteriori informazioni, consulta [IAM JSON Policy Elements: Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) nella *IAM User Guide*.

## Elemento `Action`
<a name="rcp-syntax-action"></a>

Ogni istruzione deve contenere l'`Action`elemento.

Il valore dell'`Action`elemento è una stringa o un elenco (un array JSON) di stringhe che identificano AWS i servizi e le azioni consentiti o negati dall'istruzione.

Ogni stringa è composta dall'abbreviazione del servizio (ad esempio «s3", «sqs» o «sts»), tutta minuscola, seguita da due punti e quindi da un'azione del servizio. In genere, vengono tutti immessi con ogni parola che inizia con una lettera maiuscola e il resto con una lettera minuscola. Ad esempio: `"s3:ListAllMyBuckets"`.

È inoltre possibile utilizzare caratteri jolly come l'asterisco (\$1) o il punto interrogativo (?) in un RCP:
+ Utilizzare un asterisco (\$1) come carattere jolly per abbinare più operazioni che condividono parte di un nome. Il valore `"s3:*"` indica tutte le operazioni del servizio Amazon S3. Il valore `"sts:Get*"` corrisponde solo alle AWS STS azioni che iniziano con «Get».
+ Utilizzare il punto interrogativo (?) come carattere jolly per abbinare un singolo carattere. 

**Nota**  
**Wild card (\$1) e punti interrogativi (?) può essere usato ovunque nel nome dell'azione**  
Non è possibile utilizzare «\$1» nell'elemento Action di un RCP gestito dal cliente e specificare l'abbreviazione del servizio (ad esempio «s3", «sqs» o «sts») a cui si desidera limitare l'accesso.

Per un elenco dei servizi supportati, consulta. RCPs [Elenco di tale supporto Servizi AWS RCPs](orgs_manage_policies_rcps.md#rcp-supported-services) Per un elenco delle azioni e dei Servizio AWS supporti, vedere [Azioni, risorse e chiavi di condizione per AWS i servizi](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html.html) nel *riferimento di autorizzazione del servizio*.

Per ulteriori informazioni, consulta [Elementi delle policy JSON IAM: Action](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html) nella *Guida per l'utente di IAM*.

## Elementi `Resource` e `NotResource`
<a name="rcp-syntax-resource"></a>

Ogni istruzione deve contenere l'`NotResource`elemento `Resource` or.

È possibile utilizzare caratteri jolly come l'asterisco (\$1) o il punto interrogativo (?) nell'elemento risorsa:
+ Usa un asterisco (\$1) come carattere jolly per abbinare più risorse che condividono parte di un nome. 
+ Utilizzare il punto interrogativo (?) come carattere jolly per abbinare un singolo carattere.

*Per ulteriori informazioni, consulta [IAM JSON Policy Elements: Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) e consulta [IAM JSON Policy Elements: NotResource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notresource.html) nella IAM User Guide.*

## Elemento `Condition`
<a name="rcp-syntax-condition"></a>

 È possibile specificare un `Condition` elemento nelle dichiarazioni di deny in un RCP. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}
```

------

Questo RCP nega l'accesso alle operazioni e alle risorse di Amazon S3 a meno che la richiesta non avvenga tramite trasporto sicuro (la richiesta è stata inviata tramite TLS). 

Per ulteriori informazioni, consulta la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l'utente di IAM*.

## Elementi non supportati
<a name="rcp-syntax-unsupported"></a>

I seguenti elementi non sono supportati in: RCPs
+ `NotPrincipal`
+ `NotAction`

# Esempi di policy di controllo delle risorse
<a name="orgs_manage_policies_rcps_examples"></a>

Gli esempi [di politiche di controllo delle risorse (RCPs)](orgs_manage_policies_rcps.md) visualizzati in questo argomento sono solo a scopo informativo.

**Prima di utilizzare questi esempi**  
Prima di utilizzare questi esempi RCPs nella vostra organizzazione, considerate quanto segue:  
Le [politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) sono pensate per essere utilizzate come controlli preventivi generici e non garantiscono l'accesso. Devi comunque collegare [policy basate sull'identità o sulle risorse ai principali o alle risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) IAM presenti nei tuoi account per concedere effettivamente le autorizzazioni. Le autorizzazioni effettive sono l'intersezione logica tra una politica di identità SCP/RCP e una politica di identità o una politica delle risorse. SCP/RCP [Puoi ottenere maggiori dettagli sugli effetti RCP sulle autorizzazioni qui.](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html#rcp-effects-on-permissions)
Le politiche di controllo delle risorse in questo repository sono mostrate come esempi. Non dovresti allegare il file RCPs senza aver testato a fondo l'impatto che la politica ha sulle risorse dei tuoi account. Una volta pronta una policy che desideri implementare, ti consigliamo di eseguirla in un'organizzazione o unità organizzativa separata che possa rappresentare il tuo ambiente di produzione. Una volta testato, è necessario implementare le modifiche da testare OUs e quindi distribuire progressivamente le modifiche su un set più ampio nel tempo. OUs 
La [RCPFullAWSAccess](https://console.aws.amazon.com/organizations/v2/home/policies/resource-control-policy/p-RCPFullAWSAccess)policy viene automaticamente allegata alla radice dell'organizzazione, a ogni unità organizzativa e a ogni account dell'organizzazione, quando si abilitano le politiche di controllo delle risorse (). RCPs Questo RCP predefinito consente l'accesso a tutti i principali e alle azioni attraverso la valutazione RCP. È possibile utilizzare le istruzioni Deny per limitare l'accesso alle risorse dell'organizzazione. È inoltre necessario concedere le autorizzazioni appropriate ai dirigenti utilizzando politiche basate sull'identità o sulle risorse.
Una [politica di controllo delle risorse (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html), se associata a un'organizzazione principale, a un'unità organizzativa o a un account, offre un controllo centralizzato sulle autorizzazioni massime disponibili per le risorse dell'organizzazione, dell'unità organizzativa o di un account. Poiché un RCP può essere applicato a più livelli in un'organizzazione, comprendere come [RCPs vengono valutate](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_evaluation.html) può aiutare a scrivere in modo da ottenere i risultati RCPs attesi.
Le politiche di esempio in questa sezione dimostrano l'implementazione e l'uso di. RCPs ***Non*** devono essere interpretate come suggerimenti o best practice AWS ufficiali da implementare esattamente come mostrato. È responsabilità dell'utente testare attentamente qualsiasi politica per verificarne l'idoneità a risolvere i requisiti aziendali del proprio ambiente. Le politiche di controllo delle risorse basate sulla negazione possono limitare o bloccare involontariamente l'uso dei AWS servizi, a meno che non si aggiungano le eccezioni necessarie alla politica.

**Suggerimento**  
Prima dell'implementazione RCPs, oltre a esaminare [AWS CloudTrail i log](https://aws.amazon.com/cloudtrail/), la valutazione dei [risultati degli accessi esterni di IAM Access Analyzer può aiutare a capire quali risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings-view.html#access-analyzer-findings-view-external) sono attualmente pubbliche o condivise esternamente. 

## GitHub archivio
<a name="rcp-github-repositories"></a>
+ [Esempi di politiche di controllo delle risorse](https://github.com/aws-samples/resource-control-policy-examples): questo GitHub repository contiene esempi di politiche per iniziare o far maturare l'utilizzo di AWS RCPs