Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Valutazione RCP
<a name="orgs_manage_policies_rcps_evaluation"></a>

**Nota**  
Le informazioni contenute in questa sezione ***non*** si applicano ai tipi di policy dichiarative, incluse le policy di backup, le policy sui tag, le politiche sulle applicazioni di chat o le politiche di opt-out dei servizi AI. Per ulteriori informazioni, consulta [Comprendere l'ereditarietà delle politiche dichiarative](orgs_manage_policies_inheritance_mgmt.md).

Poiché è possibile allegare più politiche di controllo delle risorse (RCP) a diversi livelli AWS Organizations, comprendere come vengono valutati gli RCP può aiutarti a scrivere RCP che producano il risultato giusto.

## Strategia per l'utilizzo degli RCP
<a name="how_rcps_deny"></a>

La `RCPFullAWSAccess` politica è una politica AWS gestita. Viene automaticamente collegata alla radice dell'organizzazione, a ogni unità organizzativa e a ogni account dell'organizzazione, quando si abilitano le politiche di controllo delle risorse (RCP). Non è possibile scollegare questa politica. Questo RCP predefinito consente a tutti i principali e alle azioni di passare attraverso la valutazione RCP, il che significa che finché non inizi a creare e allegare RCP, tutte le autorizzazioni IAM esistenti continuano a funzionare come facevano. Questa AWS policy gestita non concede l'accesso.

È possibile utilizzare le `Deny` istruzioni per bloccare l'accesso alle risorse dell'organizzazione. Affinché venga **negata** l'autorizzazione per una risorsa in un account specifico, **qualsiasi RCP** dalla radice a ciascuna unità organizzativa nel percorso diretto verso l'account (incluso l'account di destinazione stesso) può negare tale autorizzazione.

`Deny`le dichiarazioni sono uno strumento efficace per implementare restrizioni che dovrebbero valere per una parte più ampia dell'organizzazione. Ad esempio, è possibile allegare una politica per impedire che identità esterne all'organizzazione accedano alle risorse a livello principale. Tale politica sarà valida per tutti gli account dell'organizzazione. AWS consiglia vivamente di non collegare gli RCP alla radice dell'organizzazione senza aver testato a fondo l'impatto che la politica ha sulle risorse dei propri account. Per ulteriori informazioni, consulta [Effetti dei test di RCPs](orgs_manage_policies_rcps.md#rcp-warning-testing-effect).

Nella Figura 1, all'unità organizzativa di produzione è allegato un RCP con una `Deny` dichiarazione esplicita specificata per un determinato servizio. Di conseguenza, sia all'account A che all'account B verrà negato l'accesso al servizio, in quanto una policy di negazione applicata a qualsiasi livello dell'organizzazione viene valutata per tutte le unità organizzative e gli account dei membri sottostanti.

![Esempio di struttura organizzativa con una dichiarazione di rifiuto allegata all'unità organizzativa di produzione e relativo impatto sull'account A e sull'account B](http://docs.aws.amazon.com/it_it/organizations/latest/userguide/images/rcp_deny_1.png)


*Figura 1: Esempio di struttura organizzativa con una `Deny` dichiarazione allegata a Production OU e relativo impatto sull'Account A e sull'Account B*