Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Come funziona Resource Explorer con IAM
Prima di utilizzare IAM per gestire l'accesso a Esploratore di risorse AWS, è necessario comprendere quali IAM funzionalità sono disponibili per l'uso con Resource Explorer. Per avere una panoramica generale del Servizi AWS funzionamento di Resource Explorer e altri strumentiIAM, consulta la sezione [Servizi AWS relativa alla funzionalità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l'IAMutente*.
**Topics**
+ [Politiche basate sull'identità di Resource Explorer](#security_iam_service-with-iam-id-based-policies)
+ [Autorizzazione basata sui tag di Resource Explorer](#security_iam_service-with-iam-tags)
+ [Ruoli di Resource Ex IAM](#security_iam_service-with-iam-roles)
Come tutti gli altri Servizio AWS, Resource Explorer richiede le autorizzazioni per utilizzare le sue operazioni per interagire con le tue risorse. Per eseguire la ricerca, gli utenti devono disporre dell'autorizzazione per recuperare i dettagli di una visualizzazione e anche per effettuare ricerche utilizzando la vista. Per creare indici o visualizzazioni o per modificarli o qualsiasi altra impostazione di Resource Explorer, è necessario disporre di autorizzazioni aggiuntive.
Assegna politiche IAM basate sull'identità che concedano tali autorizzazioni ai responsabili appropriati. IAM Resource Explorer fornisce [diverse politiche gestite](security_iam_awsmanpol.md) che predefiniscono set comuni di autorizzazioni. Puoi assegnarli ai tuoi responsabili. IAM
## Politiche basate sull'identità di Resource Explorer
Con le politiche IAM basate sull'identità, è possibile specificare azioni consentite o negate nei confronti di risorse specifiche e le condizioni in base alle quali tali azioni sono consentite o negate. Resource Explorer supporta azioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una JSON politica, consulta il [riferimento agli elementi IAM JSON della politica](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l'IAMutente*.
### Azioni
Gli amministratori possono utilizzare AWS JSON le policy per specificare chi ha accesso a cosa. Cioè, quale **principale** può eseguire **operazioni** su quali **risorse**, e in quali **condizioni**.
L'`Action`elemento di una JSON policy descrive le azioni che è possibile utilizzare per consentire o negare l'accesso a una policy. Le azioni politiche in genere hanno lo stesso nome dell' AWS APIoperazione associata. Esistono alcune eccezioni, come le azioni basate *solo sulle autorizzazioni* che non hanno un'operazione corrispondente. API Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono denominate *operazioni dipendenti*.
Includi le operazioni in una policy per concedere le autorizzazioni a eseguire l'operazione associata.
Le azioni politiche in Resource Explorer utilizzano il prefisso del `resource-explorer-2` servizio prima dell'azione. Ad esempio, per concedere a qualcuno il permesso di effettuare ricerche utilizzando una vista, con l'`Search`APIoperazione Resource Explorer, si include l'`resource-explorer-2:Search`azione in una politica assegnata a tale principale. Le istruzioni della policy devono includere un elemento `Action` o `NotAction`. Resource Explorer definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio. Queste sono in linea con le API operazioni di Resource Explorer.
Per specificare più operazioni in una singola istruzione, separale con virgole, come illustrato nell'esempio seguente.
```
"Action": [
"resource-explorer-2:action1",
"resource-explorer-2:action2"
]
```
È possibile specificare più azioni utilizzando caratteri jolly ()`*`. Ad esempio, per specificare tutte le operazioni che iniziano con la parola `Describe`, includi la seguente operazione.
```
"Action": "resource-explorer-2:Describe*"
```
Per un elenco delle azioni di Resource Explorer, vedere [Azioni definite da Esploratore di risorse AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions) nel *AWS Service Authorization Reference*.
### Risorse
Gli amministratori possono utilizzare AWS JSON le policy per specificare chi ha accesso a cosa. Cioè, quale **principale** può eseguire **operazioni** su quali **risorse**, e in quali **condizioni**.
L'elemento `Resource` JSON policy specifica l'oggetto o gli oggetti a cui si applica l'azione. Le istruzioni devono includere un elemento `Resource`o un elemento `NotResource`. Come best practice, specifica una risorsa utilizzando il relativo [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Puoi eseguire questa operazione per azioni che supportano un tipo di risorsa specifico, note come *autorizzazioni a livello di risorsa*.
Per le azioni che non supportano le autorizzazioni a livello di risorsa, ad esempio le operazioni di elenco, utilizza un carattere jolly (\$1) per indicare che l'istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
#### Vista
Il tipo di risorsa principale di Resource Explorer è la *vista*.
La risorsa di visualizzazione Resource Explorer ha il seguente ARN formato.
```
arn:${Partition}:resource-explorer-2:${Region}:${Account}:view/${ViewName}/${unique-id}
```
Il ARN formato Resource Explorer è illustrato nell'esempio seguente.
```
arn:aws:resource-explorer-2:us-east-1:123456789012:view/My-Search-View/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
```
**Nota**
Il ARN for a view include un identificatore univoco alla fine per garantire che ogni vista sia unica. Questo aiuta a garantire che una IAM politica che concedeva l'accesso a una vecchia visualizzazione eliminata non possa essere utilizzata per concedere accidentalmente l'accesso a una nuova visualizzazione che ha lo stesso nome della vista precedente. Alla fine, ogni nuova visualizzazione riceve un nuovo ID univoco per garantire che ARNs non venga mai riutilizzata.
Per ulteriori informazioni sul formato diARNs, consulta [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Utilizzi politiche IAM basate sull'identità assegnate ai IAM principali e specifichi la vista come. `Resource` In questo modo è possibile concedere l'accesso alla ricerca tramite una visualizzazione a un set di principali e l'accesso tramite una visualizzazione completamente diversa a un insieme diverso di principali.
Ad esempio, per concedere l'autorizzazione a una singola visualizzazione denominata `ProductionResourcesView` in un'IAMinformativa, ottieni prima il [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) della vista. Puoi utilizzare la pagina **[Visualizzazioni](https://console.aws.amazon.com/resource-explorer/home#/views)** nella console per visualizzare i dettagli di una vista o richiamare l'`[ListViews](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_ListViews.html)`operazione per recuperare la visualizzazione completa ARN che desideri. Quindi, includila in una dichiarazione politica, come quella mostrata nell'esempio seguente, che concede l'autorizzazione a modificare la definizione di una sola visualizzazione.
```
"Effect": "Allow",
"Action": "UpdateView",
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/ProductionResourcesView/"
```
Per consentire le azioni su ***tutte le*** viste che appartengono a un account specifico, usa il carattere jolly (`*`) nella parte pertinente di. ARN L'esempio seguente concede l'autorizzazione di ricerca a tutte le viste di un account specifico Regione AWS .
```
"Effect": "Allow",
"Action": "Search",
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/*"
```
Alcune azioni di Resource Explorer`CreateView`, ad esempio, non vengono eseguite su una risorsa specifica perché, come nell'esempio seguente, la risorsa non esiste ancora. In questi casi, è necessario utilizzare il carattere jolly (`*`) per l'intera risorsaARN.
```
"Effect": "Allow",
"Action": "resource-explorer-2:CreateView"
"Resource": "*"
```
Se specificate un percorso che termina con un carattere jolly, potete limitare l'`CreateView`operazione alla creazione di viste con il solo percorso approvato. Il seguente esempio di policy mostra come consentire al principale di creare viste solo nel percorso`view/ProductionViews/`.
```
"Effect": "Allow",
"Action": "resource-explorer-2:CreateView"
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/ProductionViews/*""
```
#### Indice
Un altro tipo di risorsa che è possibile utilizzare per controllare l'accesso alla funzionalità di Resource Explorer è l'indice.
Il modo principale di interagire con l'indice consiste nell'attivare Resource Explorer in e Regione AWS creando un indice in quella regione. Dopodiché, fai quasi tutto il resto interagendo con la vista.
Una cosa che potete fare con l'indice è controllare chi può ***creare*** viste in ogni regione.
**Nota**
Dopo aver creato una vista, IAM autorizza tutte le altre azioni ARN di visualizzazione solo sulla vista e non sull'indice.
L'indice contiene un elemento a [ARN](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)cui puoi fare riferimento in una politica di autorizzazione. Un indice Resource Explorer ARN ha il seguente formato.
```
arn:${Partition}:resource-explorer-2:${Region}:${Account}:index/${unique-id}
```
Vedi il seguente esempio di indice Resource ExplorerARN.
```
arn:aws:resource-explorer-2:us-east-1:123456789012:index/1a2b3c4d-5d6e-7f8a-9b0c-abcd22222222
```
Alcune azioni di Resource Explorer controllano l'autenticazione rispetto a più tipi di risorse. Ad esempio, l'[CreateView](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_CreateView.html)operazione autorizza sia l'ARNindice che la vista come avverrà dopo la creazione ARN di Resource Explorer. Per concedere agli amministratori l'autorizzazione a gestire il servizio Resource Explorer, puoi `"Resource": "*"` autorizzare azioni per qualsiasi risorsa, indice o visualizzazione.
In alternativa, è possibile limitare un preside alla possibilità di lavorare solo con risorse Resource Explorer specifiche. Ad esempio, per limitare le azioni alle sole risorse di Resource Explorer in una regione specificata, è possibile includere un ARN modello che corrisponda sia all'indice che alla vista, ma richiami solo una singola regione. Nell'esempio seguente, ARN corrisponde a entrambi gli indici o le viste solo nella `us-west-2` regione dell'account specificato. Specificate la Regione nel terzo campo delARN, ma utilizzate un carattere jolly (\$1) nel campo finale per abbinare qualsiasi tipo di risorsa.
```
"Resource": "arn:aws:resource-explorer-2:us-west-2:123456789012:*
```
Per ulteriori informazioni, vedere [Resources Defined by Esploratore di risorse AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-resources-for-iam-policies) nel *AWS Service Authorization Reference.* Per sapere con quali azioni è possibile specificare le caratteristiche ARN di ciascuna risorsa, vedere [Azioni definite da Esploratore di risorse AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions).
### Chiavi di condizione
Resource Explorer non fornisce chiavi di condizione specifiche del servizio, ma supporta l'utilizzo di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*IAMutente*.
Gli amministratori possono utilizzare AWS JSON le policy per specificare chi ha accesso a cosa. Cioè, quale **principale** può eseguire **azioni** su quali **risorse**, e in quali **condizioni**.
L'elemento `Condition`(o *blocco* `Condition`) consente di specificare le condizioni in cui un'istruzione è in vigore. L'elemento `Condition`è facoltativo. Puoi compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta.
Se specifichi più elementi `Condition`in un'istruzione o più chiavi in un singolo elemento `Condition`, questi vengono valutati da AWS utilizzando un'operazione `AND`logica. Se si specificano più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'operazione logica`OR`. Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell'istruzione vengano concesse.
Puoi anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, è possibile concedere a un IAM utente l'autorizzazione ad accedere a una risorsa solo se è contrassegnata con il suo nome IAM utente. Per ulteriori informazioni, consulta [gli elementi IAM della politica: variabili e tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) nella *Guida IAM per l'utente*.
AWS supporta chiavi di condizione globali e chiavi di condizione specifiche del servizio. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*IAMutente*.
Per visualizzare un elenco delle chiavi di condizione che è possibile utilizzare con Resource Explorer, vedere [Condition Keys Esploratore di risorse AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-policy-keys) nel *AWS Service Authorization Reference*. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, vedi [Azioni definite da Esploratore di risorse AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions).
### Esempi
Per visualizzare esempi di politiche basate sull'identità di Resource Explorer, consulta. [Esempi di policy di Esploratore di risorse AWS basate su identità](security_iam_id-based-policy-examples.md)
## Autorizzazione basata sui tag di Resource Explorer
È possibile allegare tag alle visualizzazioni di Resource Explorer o passare i tag in una richiesta a Resource Explorer. Per controllare l'accesso basato su tag, fornisci informazioni sui tag nell'[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `resource-explorer-2:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`. Per ulteriori informazioni sull'etichettatura delle risorse di Resource Explorer, consulta[Aggiunta di tag alle visualizzazioni](manage-views-tag.md). Per utilizzare l'autorizzazione basata su tag in Resource Explorer, vedere. [Utilizzo dell'autorizzazione basata sui tag per controllare l'accesso alle visualizzazioni](manage-views-grant-access.md#manage-views-grant-access-abac)
## Ruoli di Resource Ex IAM
Un [IAMruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) è un responsabile interno all'utente Account AWS che dispone di autorizzazioni specifiche.
### Utilizzo di credenziali temporanee con Resource Explorer
Puoi utilizzare credenziali temporanee per accedere con la federazione, assumere un IAM ruolo o assumere un ruolo tra account. È possibile ottenere credenziali di sicurezza temporanee chiamando API operazioni AWS Security Token Service (AWS STS) come o. [AssumeRole[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)
Resource Explorer supporta l'utilizzo di credenziali temporanee.
### Ruoli collegati ai servizi
[I ruoli collegati ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) consentono di accedere Servizi AWS alle risorse di altri servizi per completare un'azione per conto dell'utente. I ruoli collegati ai servizi vengono visualizzati nell'IAMaccount e sono di proprietà del servizio. Un IAM amministratore può visualizzare ma non modificare le autorizzazioni per i ruoli collegati al servizio.
Resource Explorer utilizza ruoli collegati ai servizi per svolgere il proprio lavoro. Per informazioni dettagliate sui ruoli collegati ai servizi di Resource Explorer, vedere. [Utilizzo di ruoli collegati ai servizi per Resource Explorer](security_iam_service-linked-roles.md)