Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Identity and Access Management in AWS Service Catalog
L'accesso a AWS Service Catalog richiede credenziali. Tali credenziali devono essere autorizzate ad accedere a AWS risorse, ad esempio un AWS Service Catalog portafoglio o un prodotto. AWS Service Catalog si integra con AWS Identity and Access Management (IAM) per consentirti di concedere AWS Service Catalog agli amministratori le autorizzazioni necessarie per creare e gestire i prodotti e per concedere agli utenti AWS Service Catalog finali le autorizzazioni necessarie per lanciare prodotti e gestire i prodotti forniti. Queste politiche vengono create e gestite da AWS o singolarmente da amministratori e utenti finali. Per controllare l'accesso, alleghi queste politiche agli utenti, ai gruppi e ai ruoli con AWS Service Catalog cui utilizzi.
## Destinatari
Le autorizzazioni di cui *disponi* AWS Identity and Access Management (IAM) possono dipendere dal ruolo che ricopri. AWS Service Catalog
Le autorizzazioni di cui *disponi tramite* AWS Identity and Access Management (IAM) possono dipendere anche dal ruolo che ricopri. AWS Service Catalog
**Amministratore**: in qualità di AWS Service Catalog amministratore, hai bisogno dell'accesso completo alla console di amministrazione e alle autorizzazioni IAM che ti consentono di eseguire attività come la creazione e la gestione di portafogli e prodotti, la gestione dei vincoli e la concessione dell'accesso agli utenti finali.
**Utente finale**: prima che gli utenti finali possano utilizzare i tuoi prodotti, devi concedere loro le autorizzazioni che consentano loro di accedere alla console dell'utente finale. AWS Service Catalog Possono inoltre disporre delle autorizzazioni per avviare e gestire i prodotti con provisioning.
**Amministratore IAM**: se sei un amministratore IAM, potresti voler saperne di più su come scrivere policy per gestire l'accesso AWS Service Catalog. Per visualizzare esempi di policy AWS Service Catalog basate sull'identità che puoi utilizzare in IAM, consulta. [AWS politiche gestite per AWS Service Catalog AppRegistry](security-iam-awsmanpol.md)
# Esempi di policy basate sull'identità per AWS Service Catalog
**Topics**
+ [Accesso alla console per gli utenti finali](#permissions-end-users-console)
+ [Accesso al prodotto per gli utenti finali](#permissions-end-users-product)
+ [Esempi di politiche per la gestione dei prodotti forniti](#example-policies)
## Accesso alla console per gli utenti finali
Le policy ****`AWSServiceCatalogEndUserFullAccess`**** e ****`AWSServiceCatalogEndUserReadOnlyAccess`**** autorizzano l'accesso alla visualizzazione della console dell'utente finale di AWS Service Catalog . Quando un utente che dispone di una di queste politiche sceglie AWS Service Catalog in Console di gestione AWS, la visualizzazione della console dell'utente finale mostra i prodotti che ha l'autorizzazione a lanciare.
Prima che gli utenti finali possano lanciare con successo un prodotto AWS Service Catalog a cui concedi l'accesso, devi fornire loro autorizzazioni IAM aggiuntive per consentire loro di utilizzare ciascuna delle AWS risorse sottostanti nel modello di AWS CloudFormation un prodotto. Ad esempio, se un modello di prodotto include Amazon Relational Database Service (Amazon RDS), devi concedere agli utenti le autorizzazioni Amazon RDS per lanciare il prodotto.
Per ulteriori informazioni su come consentire agli utenti finali di lanciare prodotti applicando al contempo le autorizzazioni di accesso minimo alle risorse, consulta. AWS [Utilizzo dei AWS Service Catalog vincoli](constraints.md)
Se applichi la policy **`AWSServiceCatalogEndUserReadOnlyAccess`**, gli utenti hanno accesso alla console utente finale, ma non disporranno delle autorizzazioni necessarie per avviare prodotti e gestire prodotti con provisioning. Puoi concedere queste autorizzazioni direttamente a un utente finale utilizzando IAM, ma se desideri limitare l'accesso degli utenti finali alle AWS risorse, devi associare la policy a un ruolo di lancio. Si utilizza quindi AWS Service Catalog per applicare il ruolo di lancio a un vincolo di lancio per il prodotto. Per ulteriori informazioni sull'applicazione di un ruolo di avvio, sui limiti dei ruoli di avvio e su un ruolo di avvio di esempio, consulta [AWS Service Catalog Vincoli di avvio](constraints-launch.md).
**Nota**
Se concedi agli utenti le autorizzazioni IAM per gli AWS Service Catalog amministratori, viene invece visualizzata la vista della console dell'amministratore. Non concedere agli utenti finali queste autorizzazioni se non vuoi che accedano alla vista della console di amministrazione.
## Accesso al prodotto per gli utenti finali
Prima che gli utenti finali possano utilizzare un prodotto a cui concedi l'accesso, devi fornire loro autorizzazioni IAM aggiuntive per consentire loro di utilizzare ciascuna delle AWS risorse sottostanti nel CloudFormation modello di un prodotto. Ad esempio, se un modello di prodotto include Amazon Relational Database Service (Amazon RDS), devi concedere agli utenti le autorizzazioni Amazon RDS per lanciare il prodotto.
Se applichi la policy **`AWSServiceCatalogEndUserReadOnlyAccess`**, gli utenti hanno accesso alla vista della console utente finale, ma non disporranno delle autorizzazioni necessarie per avviare prodotti e gestire prodotti con provisioning. Puoi concedere queste autorizzazioni direttamente a un utente finale in IAM, ma se desideri limitare l'accesso degli utenti finali alle AWS risorse, devi associare la policy a un ruolo di lancio. Si utilizza quindi AWS Service Catalog per applicare il ruolo di lancio a un vincolo di lancio per il prodotto. Per ulteriori informazioni sull'applicazione di un ruolo di avvio, sui limiti dei ruoli di avvio e su un ruolo di avvio di esempio, consulta [AWS Service Catalog Vincoli di avvio](constraints-launch.md).
## Esempi di politiche per la gestione dei prodotti forniti
Puoi creare policy personalizzate per soddisfare i requisiti di sicurezza della tua organizzazione. Gli esempi seguenti descrivono come personalizzare il livello di accesso per ogni azione con supporto a livello di utente, ruolo e account. Puoi concedere agli utenti l'accesso per visualizzare, aggiornare, terminare e gestire prodotti con provisioning creati esclusivamente da tali utenti oppure creati da altri utenti mediante il relativo ruolo o l'account a cui sono connessi. Questo accesso è gerarchico: la concessione dell'accesso a livello di account garantisce anche l'accesso a livello di ruolo e l'accesso a livello utente, mentre l'aggiunta dell'accesso a livello di ruolo garantisce anche l'accesso a livello utente ma non l'accesso a livello di account. Puoi specificare questi accessi nel codice JSON della policy utilizzando un blocco `Condition` come `accountLevel`, `roleLevel` o `userLevel`.
Questi esempi si applicano anche ai livelli di accesso per le operazioni di scrittura: `UpdateProvisionedProduct` and e lettura delle AWS Service Catalog API:`TerminateProvisionedProduct`, e. `DescribeRecord` `ScanProvisionedProducts` `ListRecordHistory` Le operazioni API `ScanProvisionedProducts` e `ListRecordHistory` utilizzano `AccessLevelFilterKey` come input e i valori di tale chiave corrispondono ai livelli del blocco `Condition` presentati in questo argomento (`accountLevel` equivale a un valore `AccessLevelFilterKey` di "Account", `roleLevel` a un valore "Role" e `userLevel` a un valore "User"). Per ulteriori informazioni, consulta la [Service Catalog Developer Guide](https://docs.aws.amazon.com/servicecatalog/latest/dg/).
**Topics**
+ [Accesso amministrativo completo ai prodotti forniti](#full-admin)
+ [Accesso dell'utente finale ai prodotti forniti](#examples-end-user)
+ [Accesso amministrativo parziale ai prodotti forniti](#partial-admin)
### Accesso amministrativo completo ai prodotti forniti
La policy seguente consente l'accesso completo in lettura e scrittura a prodotti con provisioning e record nel catalogo a livello di account.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"servicecatalog:*"
],
"Resource":"*",
"Condition": {
"StringEquals": {
"servicecatalog:accountLevel": "self"
}
}
}
]
}
```
------
Da un punto di vista funzionale, questa policy è equivalente alla seguente policy:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"servicecatalog:*"
],
"Resource":"*"
}
]
}
```
------
La mancata indicazione di un `Condition` blocco in nessuna policy di AWS Service Catalog viene considerata come specificare `"servicecatalog:accountLevel"` l'accesso. Nota che l'accesso `accountLevel` include l'accesso `roleLevel` e `userLevel`.
### Accesso dell'utente finale ai prodotti forniti
La policy seguente limita l'accesso alle operazioni di lettura e scrittura esclusivamente ai prodotti con provisioning o ai record associati che l'utente corrente ha creato.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"servicecatalog:DescribeProduct",
"servicecatalog:DescribeProductView",
"servicecatalog:DescribeProvisioningParameters",
"servicecatalog:DescribeRecord",
"servicecatalog:ListLaunchPaths",
"servicecatalog:ListRecordHistory",
"servicecatalog:ProvisionProduct",
"servicecatalog:ScanProvisionedProducts",
"servicecatalog:SearchProducts",
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
}
]
}
```
------
### Accesso amministrativo parziale ai prodotti forniti
Le due policy esposte di seguito, se applicate entrambe allo stesso utente, consentono quello che potrebbe essere definito un tipo di "accesso amministratore parziale", fornendo accesso di sola lettura completo e accesso in scrittura limitato. Ciò significa che l'utente può visualizzare qualsiasi prodotto con provisioning o record associato nell'account del catalogo, ma non è in grado di eseguire azioni su qualsiasi prodotto con provisioning o record non di proprietà di quell'utente.
La prima policy concede all'utente l'accesso a operazioni di scrittura su prodotti con provisioning che l'utente corrente ha creato, ma non su prodotti con provisioning creati da altri utenti. La seconda policy aggiunge accesso completo alle operazioni in lettura su prodotti con provisioning creati da tutti (utente, ruolo o account).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"servicecatalog:DescribeProduct",
"servicecatalog:DescribeProductView",
"servicecatalog:DescribeProvisioningParameters",
"servicecatalog:ListLaunchPaths",
"servicecatalog:ProvisionProduct",
"servicecatalog:SearchProducts",
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"servicecatalog:DescribeRecord",
"servicecatalog:ListRecordHistory",
"servicecatalog:ScanProvisionedProducts"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:accountLevel": "self"
}
}
}
]
}
```
------
# AWS politiche gestite per AWS Service Catalog AppRegistry
## AWS politica gestita: `AWSServiceCatalogAdminFullAccess`
Puoi collegarti `AWSServiceCatalogAdminFullAccess` alle tue entità IAM. AppRegistry associa inoltre questa policy a un ruolo di servizio che consente di AppRegistry eseguire azioni per tuo conto.
Questa politica concede *administrative* autorizzazioni che consentono l'accesso completo alla visualizzazione della console dell'amministratore e concede l'autorizzazione per creare e gestire prodotti e portafogli.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `servicecatalog`— Concede ai responsabili le autorizzazioni complete per la visualizzazione della console dell'amministratore e la possibilità di creare e gestire portafogli e prodotti, gestire i vincoli, concedere l'accesso agli utenti finali ed eseguire altre attività amministrative all'interno. AWS Service Catalog
+ `cloudformation`— Consente le autorizzazioni AWS Service Catalog complete per elencare, leggere, scrivere ed etichettare pile. AWS CloudFormation
+ `config`— Consente autorizzazioni AWS Service Catalog limitate per portafogli, prodotti e prodotti forniti tramite. AWS Config
+ `iam`— Concede ai responsabili le autorizzazioni complete per visualizzare e creare utenti, gruppi o ruoli del servizio necessari per la creazione e la gestione di prodotti e portafogli.
+ `ssm`— Consente di AWS Service Catalog AWS Systems Manager elencare e leggere i documenti di Systems Manager nell' AWS account e AWS nella regione correnti.
Visualizza la politica: [AWSServiceCatalogAdminFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogAdminFullAccess.html).
## AWS politica gestita: `AWSServiceCatalogAdminReadOnlyAccess`
Puoi collegarti `AWSServiceCatalogAdminReadOnlyAccess` alle tue entità IAM. AppRegistry associa inoltre questa policy a un ruolo di servizio che consente di AppRegistry eseguire azioni per tuo conto.
Questa politica concede *read-only* autorizzazioni che consentono l'accesso completo alla visualizzazione della console dell'amministratore. Questa politica non concede l'accesso alla creazione o alla gestione di prodotti e portafogli.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `servicecatalog`— Concede ai principali permessi di sola lettura per la visualizzazione della console dell'amministratore.
+ `cloudformation`— Consente autorizzazioni AWS Service Catalog limitate per elencare e leggere gli stack. AWS CloudFormation
+ `config`— Consente autorizzazioni AWS Service Catalog limitate per portafogli, prodotti e prodotti forniti tramite. AWS Config
+ `iam`— Concede ai responsabili autorizzazioni limitate per visualizzare gli utenti, i gruppi o i ruoli del servizio necessari per la creazione e la gestione di prodotti e portafogli.
+ `ssm`— Consente di AWS Service Catalog AWS Systems Manager elencare e leggere i documenti di Systems Manager nell' AWS account e AWS nella regione correnti.
Visualizza la politica: [AWSServiceCatalogAdminReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogAdminReadOnlyAccess.html).
## AWS politica gestita: `AWSServiceCatalogEndUserFullAccess`
Puoi collegarti `AWSServiceCatalogEndUserFullAccess` alle tue entità IAM. AppRegistry associa inoltre questa policy a un ruolo di servizio che consente di AppRegistry eseguire azioni per tuo conto.
Questa politica concede *contributor* autorizzazioni che consentono l'accesso completo alla visualizzazione della console dell'utente finale e concede l'autorizzazione per lanciare prodotti e gestire i prodotti forniti.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `servicecatalog`— Concede ai responsabili le autorizzazioni complete per la visualizzazione della console dell'utente finale e la possibilità di lanciare prodotti e gestire i prodotti forniti.
+ `cloudformation`— Consente le autorizzazioni AWS Service Catalog complete per elencare, leggere, scrivere e etichettare gli stack. AWS CloudFormation
+ `config`— Consente autorizzazioni AWS Service Catalog limitate per elencare e leggere dettagli su portafogli, prodotti e prodotti forniti tramite. AWS Config
+ `ssm`— Consente AWS Service Catalog di leggere AWS Systems Manager i documenti di Systems Manager nell' AWS account corrente e AWS nella regione.
Visualizza la politica: [AWSServiceCatalogEndUserFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogEndUserFullAccess.html).
## AWS politica gestita: `AWSServiceCatalogEndUserReadOnlyAccess`
Puoi collegarti `AWSServiceCatalogEndUserReadOnlyAccess` alle tue entità IAM. AppRegistry associa inoltre questa policy a un ruolo di servizio che consente di AppRegistry eseguire azioni per tuo conto.
Questa politica concede *read-only* autorizzazioni che consentono l'accesso in sola lettura alla visualizzazione della console dell'utente finale. Questa politica non concede l'autorizzazione al lancio di prodotti o alla gestione dei prodotti forniti.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `servicecatalog`— Concede ai principali permessi di sola lettura per la visualizzazione della console dell'utente finale.
+ `cloudformation`— Consente autorizzazioni AWS Service Catalog limitate per elencare e leggere gli stack. AWS CloudFormation
+ `config`— Consente autorizzazioni AWS Service Catalog limitate per elencare e leggere dettagli su portafogli, prodotti e prodotti forniti tramite. AWS Config
+ `ssm`— Consente AWS Service Catalog di leggere AWS Systems Manager i documenti di Systems Manager nell' AWS account corrente e AWS nella regione.
Visualizza la politica: [AWSServiceCatalogEndUserReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogEndUserReadOnlyAccess.html).
## AWS politica gestita: `AWSServiceCatalogSyncServiceRolePolicy`
AWS Service Catalog allega questa policy al `AWSServiceRoleForServiceCatalogSync` service-linked role (SLR), permettendo di AWS Service Catalog sincronizzare i modelli in un repository esterno con i prodotti. AWS Service Catalog
Questa politica concede autorizzazioni che consentono un accesso limitato alle AWS Service Catalog azioni (ad esempio, chiamate API) e ad altre azioni di servizio da cui dipende. AWS AWS Service Catalog
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `servicecatalog`— Consente al ruolo di sincronizzazione degli AWS Service Catalog artefatti l'accesso limitato al pubblico. AWS Service Catalog APIs
+ `codeconnections`— Consente al ruolo di sincronizzazione degli AWS Service Catalog artefatti l'accesso limitato al pubblico. CodeConnections APIs
+ `cloudformation`— Consente al ruolo di sincronizzazione degli AWS Service Catalog artefatti l'accesso limitato al pubblico. AWS CloudFormation APIs
Visualizza la politica:. [AWSServiceCatalogSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogSyncServiceRolePolicy.html)
**Dettagli del ruolo collegato al servizio**
AWS Service Catalog utilizza i dettagli di autorizzazione di cui sopra per il ruolo `AWSServiceRoleForServiceCatalogSync` collegato al servizio che viene creato quando un utente crea o aggiorna un AWS Service Catalog prodotto che utilizza. CodeConnections È possibile modificare questa politica utilizzando la AWS CLI, l' AWS API o tramite la AWS Service Catalog console. Per ulteriori informazioni su come creare, modificare ed eliminare i ruoli collegati ai servizi, consulta [Using service-linked](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/using-service-linked-roles) roles () for. SLRs AWS Service Catalog
Le autorizzazioni incluse nel ruolo `AWSServiceRoleForServiceCatalogSync` collegato al servizio consentono di eseguire le seguenti azioni AWS Service Catalog per conto del cliente.
+ `servicecatalog:ListProvisioningArtifacts`— Consente al ruolo di sincronizzazione degli AWS Service Catalog artefatti di elencare gli elementi di provisioning per un determinato AWS Service Catalog prodotto sincronizzato con un file modello in un repository.
+ `servicecatalog:DescribeProductAsAdmin`— Consente al ruolo di sincronizzazione degli AWS Service Catalog artefatti di utilizzare l'`DescribeProductAsAdmin`API per ottenere dettagli su un AWS Service Catalog prodotto e sugli elementi assegnati a esso associati, sincronizzati con un file modello in un repository. Il ruolo di sincronizzazione degli artefatti utilizza l'output di questa chiamata per verificare il limite di quota di servizio del prodotto per il provisioning degli artefatti.
+ `servicecatalog:DeleteProvisioningArtifact`— Consente al ruolo di sincronizzazione degli AWS Service Catalog artefatti di eliminare un artefatto fornito.
+ `servicecatalog:ListServiceActionsForProvisioningArtifact`— Consente al ruolo di sincronizzazione degli AWS Service Catalog artefatti di determinare se le Service Actions sono associate a un artifact di provisioning e di garantire che l'artifact di provisioning non venga eliminato se è associata un'azione di servizio.
+ `servicecatalog:DescribeProvisioningArtifact`— Consente al ruolo di sincronizzazione degli AWS Service Catalog artefatti di recuperare i dettagli dall'`DescribeProvisioningArtifact`API, incluso l'ID di commit, fornito nell'output. `SourceRevisionInfo`
+ `servicecatalog:CreateProvisioningArtifact`— Consente al ruolo di sincronizzazione degli AWS Service Catalog artefatti di creare un nuovo artefatto assegnato se viene rilevata una modifica (ad esempio, viene eseguito il commit di un git-push) al file del modello di origine nel repository esterno.
+ `servicecatalog:UpdateProvisioningArtifact`— Consente al ruolo di sincronizzazione degli AWS Service Catalog artefatti di aggiornare l'artefatto fornito per un prodotto connesso o sincronizzato.
+ `codeconnections:UseConnection`— Consente al ruolo di sincronizzazione degli AWS Service Catalog artefatti di utilizzare la connessione esistente per aggiornare e sincronizzare un prodotto.
+ `cloudformation:ValidateTemplate`— Consente al ruolo di AWS Service Catalog artifact sync (accesso limitato) di AWS CloudFormation convalidare il formato del modello utilizzato nel repository esterno e verificare se è in grado di supportare il modello. CloudFormation
## AWS politica gestita: `AWSServiceCatalogOrgsDataSyncServiceRolePolicy`
AWS Service Catalog allega questa politica al ruolo `AWSServiceRoleForServiceCatalogOrgsDataSync` collegato al servizio (SLR), consentendone AWS Service Catalog la sincronizzazione con. AWS Organizations
Questa politica concede autorizzazioni che consentono un accesso limitato alle AWS Service Catalog azioni (ad esempio, chiamate API) e ad altre AWS azioni di servizio da cui dipende. AWS Service Catalog
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `organizations`— Consente al ruolo di sincronizzazione AWS Service Catalog dei dati l'accesso limitato al AWS Organizations pubblico. APIs
Visualizza la politica: [AWSServiceCatalogOrgsDataSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogOrgsDataSyncServiceRolePolicy.html).
**Dettagli del ruolo collegato al servizio**
AWS Service Catalog utilizza i dettagli di autorizzazione di cui sopra per il ruolo `AWSServiceRoleForServiceCatalogOrgsDataSync` collegato al servizio che viene creato quando un utente abilita l'accesso AWS Organizations condiviso al portafoglio o crea una condivisione di portafoglio. È possibile modificare questa politica utilizzando la AWS CLI, l' AWS API o tramite la AWS Service Catalog console. Per ulteriori informazioni su come creare, modificare ed eliminare i ruoli collegati ai servizi, consulta [Using service-linked](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/using-service-linked-roles) roles () for. SLRs AWS Service Catalog
Le autorizzazioni incluse nel ruolo `AWSServiceRoleForServiceCatalogOrgsDataSync` collegato al servizio consentono di eseguire le seguenti azioni AWS Service Catalog per conto del cliente.
+ `organizations:DescribeAccount`— Consente al ruolo AWS Service Catalog Organizations Data Sync AWS Organizations di recuperare informazioni relative all'account specificato.
+ `organizations:DescribeOrganization`— Consente al ruolo AWS Service Catalog Organizations Data Sync di recuperare informazioni sull'organizzazione a cui appartiene l'account dell'utente.
+ `organizations:ListAccounts`— Consente al ruolo AWS Service Catalog Organizations Data Sync di elencare gli account nell'organizzazione dell'utente.
+ `organizations:ListChildren`— Consente al ruolo AWS Service Catalog Organizations Data Sync di elencare tutte le unità organizzative (UOs) o gli account contenuti nell'unità organizzativa principale o principale specificata.
+ `organizations:ListParents`— Consente al ruolo AWS Service Catalog Organizations Data Sync di elencare la radice o OUs quella che funge da genitore diretto dell'unità organizzativa o dell'account figlio specificato.
+ `organizations:ListAWSServiceAccessForOrganization`— Consente al ruolo AWS Service Catalog Organizations Data Sync di recuperare un elenco dei AWS servizi che l'utente ha abilitato a integrare con la propria organizzazione.
## Politiche obsolete
Di seguito sono elencate le policy gestite obsolete:
+ **ServiceCatalogAdminFullAccess**— Usa invece. **AWSServiceCatalogAdminFullAccess**
+ **ServiceCatalogAdminReadOnlyAccess**— Usa **AWSServiceCatalogAdminReadOnlyAccess**invece.
+ **ServiceCatalogEndUserFullAccess**— Usa **AWSServiceCatalogEndUserFullAccess**invece.
+ **ServiceCatalogEndUserAccess**— Usa **AWSServiceCatalogEndUserReadOnlyAccess**invece.
Utilizza la procedura seguente per accertarti che agli amministratori e agli utenti finali siano concesse le autorizzazioni mediante le policy correnti.
*Per migrare dalle policy obsolete alle policy attuali, consulta [Aggiungere e rimuovere le autorizzazioni di identità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console) nella Guida per l'utente.AWS Identity and Access Management *
## AppRegistry aggiornamenti alle politiche gestite AWS
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite AppRegistry da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei AppRegistry documenti.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWSServiceCatalogSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogSyncServiceRolePolicy)— Aggiorna la politica gestita | AWS Service Catalog ha aggiornato la `AWSServiceCatalogSyncServiceRolePolicy` politica per `codestar-connections` modificarla`codeconnections`. | 7 maggio 2024 |
| [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess)— Aggiorna la politica gestita | AWS Service Catalog ha aggiornato la `AWSServiceCatalogAdminFullAccess` politica per includere le autorizzazioni necessarie all' AWS Service Catalog amministratore per creare il ruolo `AWSServiceRoleForServiceCatalogOrgsDataSync` collegato al servizio (SLR) nel proprio account. | 14 aprile 2023 |
| [AWSServiceCatalogOrgsDataSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogOrgsDataSyncServiceRolePolicy)— Nuova politica gestita | AWS Service Catalog ha aggiunto il`AWSServiceCatalogOrgsDataSyncServiceRolePolicy`, che è collegato al ruolo `AWSServiceRoleForServiceCatalogOrgsDataSync` collegato al servizio (SLR), che consente la sincronizzazione AWS Service Catalog con. AWS Organizations Questa politica consente un accesso limitato alle AWS Service Catalog azioni (ad esempio, chiamate API) e ad altre azioni di AWS servizio da cui AWS Service Catalog dipende. | 14 aprile 2023 |
| [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess)— Aggiorna la politica gestita | AWS Service Catalog ha aggiornato la `AWSServiceCatalogAdminFullAccess` politica per includere tutte le autorizzazioni per l' AWS Service Catalog amministratore e creare compatibilità con AppRegistry. | 12 gennaio 2023 |
| [AWSServiceCatalogSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogSyncServiceRolePolicy)— Nuova politica gestita | AWS Service Catalog ha aggiunto la `AWSServiceCatalogSyncServiceRolePolicy` policy, che è allegata al ruolo `AWSServiceRoleForServiceCatalogSync` collegato al servizio (SLR). Questa politica consente di AWS Service Catalog sincronizzare i modelli in un archivio esterno con i prodotti. AWS Service Catalog | 18 novembre 2022 |
| [AWSServiceRoleForServiceCatalogSync](using-service-linked-roles.md#slr-permissions)— Nuovo ruolo collegato al servizio | AWS Service Catalog ha aggiunto il ruolo `AWSServiceRoleForServiceCatalogSync` collegato al servizio (SLR). Questo ruolo è necessario per AWS Service Catalog utilizzare CodeConnections e creare, aggiornare e descrivere AWS Service Catalog Provisioning Artifacts per un prodotto. | 18 novembre 2022 |
| [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess)— Politica gestita aggiornata | AWS Service Catalog ha aggiornato la `AWSServiceCatalogAdminFullAccess` politica per includere tutte le autorizzazioni richieste per un AWS Service Catalog amministratore. La politica identifica le azioni specifiche che l'amministratore può intraprendere su tutte AWS Service Catalog le risorse, come creare, descrivere, eliminare e altro. Inoltre, la politica è stata modificata per supportare una funzionalità lanciata di recente, Attribute Based Access Control (ABAC) for. AWS Service Catalog ABAC consente di utilizzare la `AWSServiceCatalogAdminFullAccess` politica come modello per consentire o negare azioni sulle AWS Service Catalog risorse basate sui tag. Per ulteriori informazioni su ABAC, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) in. AWS*AWS Identity and Access Management* | 30 settembre 2022 |
| AppRegistry ha iniziato a tenere traccia delle modifiche | AppRegistry ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 15 settembre 2022 |
# Utilizzo di ruoli collegati ai servizi per AWS Service Catalog
AWS Service Catalog utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. AWS Service Catalog I ruoli collegati ai servizi sono predefiniti AWS Service Catalog e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione AWS Service Catalog perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS Service Catalog definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. AWS Service Catalog Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun’altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. In questo modo proteggi AWS Service Catalog le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
**Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta [AWS Servizi compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi con **Sì** nella colonna Ruoli collegati ai servizi.** Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
## Autorizzazioni del ruolo collegato ai servizi per `AWSServiceRoleForServiceCatalogSync`
AWS Service Catalog può utilizzare il ruolo collegato al servizio denominato **`AWSServiceRoleForServiceCatalogSync`**: questo ruolo collegato al servizio è necessario per utilizzare CodeConnections e creare, aggiornare e AWS Service Catalog descrivere gli artifatti di provisioning per un prodotto. AWS Service Catalog
Ai fini dell’assunzione del ruolo, il ruolo collegato al servizio `AWSServiceRoleForServiceCatalogSync` considera attendibili i seguenti servizi:
+ `sync.servicecatalog.amazonaws.com`
La politica di autorizzazione dei ruoli denominata **AWSServiceCatalogSyncServiceRolePolicy**consente di completare le seguenti azioni sulle AWS Service Catalog risorse specificate:
+ Operazione: `Connection` su `CodeConnections`
+ Azione: `Create, Update, and Describe` attiva `ProvisioningArtifact` per un prodotto AWS Service Catalog
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente di IAM*.
### Creazione del ruolo collegato ai servizi `AWSServiceRoleForServiceCatalogSync`
Non è necessario creare manualmente il ruolo `AWSServiceRoleForServiceCatalogSync` collegato al servizio. AWS Service Catalog crea automaticamente il ruolo collegato al servizio quando lo stabilisci CodeConnections nell' Console di gestione AWS API AWS CLI. AWS
**Importante**
Questo ruolo collegato al servizio può apparire nell'account, se è stata completata un'operazione in un altro servizio che utilizza le caratteristiche supportate da questo ruolo. Inoltre, se utilizzavi il AWS Service Catalog servizio prima del 18 novembre 2022, quando ha iniziato a supportare i ruoli collegati al servizio, hai AWS Service Catalog creato il `AWSServiceRoleForServiceCatalogSync` ruolo nel tuo account. Per ulteriori informazioni, consulta [Un nuovo ruolo è apparso nel mio account IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Una volta stabilito CodeConnections, AWS Service Catalog crea nuovamente il ruolo collegato al servizio per te.
Puoi anche utilizzare la console IAM per creare un ruolo collegato al servizio con lo use case **sincronizzato AWS Service Catalog ** Products. Nella AWS CLI o nell' AWS API, crea un ruolo collegato al servizio con il nome del servizio. `sync.servicecatalog.amazonaws.com` Per ulteriori informazioni, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l’utente IAM*. Se elimini il ruolo collegato ai servizi, è possibile utilizzare lo stesso processo per crearlo nuovamente.
## Autorizzazioni del ruolo collegato ai servizi per `AWSServiceRoleForServiceCatalogOrgsDataSync`
AWS Service Catalog può utilizzare il ruolo collegato al servizio denominato **`AWSServiceRoleForServiceCatalogOrgsDataSync`**: questo ruolo collegato al servizio è necessario per consentire alle AWS Service Catalog organizzazioni di rimanere sincronizzate con. AWS Organizations
Ai fini dell’assunzione del ruolo, il ruolo collegato al servizio `AWSServiceRoleForServiceCatalogOrgsDataSync` considera attendibili i seguenti servizi:
+ `orgsdatasync.servicecatalog.amazonaws.com`
[Il ruolo `AWSServiceRoleForServiceCatalogOrgsDataSync` collegato al servizio richiede l'utilizzo della seguente politica di attendibilità oltre alla politica gestita: `AWSServiceCatalogOrgsDataSyncServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSServiceCatalogOrgsDataSyncServiceRolePolicy)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "orgsdatasync.servicecatalog.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
La politica di autorizzazione dei ruoli denominata **AWSServiceCatalogOrgsDataSyncServiceRolePolicy**consente di AWS Service Catalog completare le seguenti azioni sulle risorse specificate:
+ Azione: `DescribeAccount`, `DescribeOrganization` e `ListAWSServiceAccessForOrganization` su `Organizations accounts`
+ Azione: `ListAccounts`, `ListChildren` e `ListParent` su `Organizations accounts`
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente di IAM*.
### Creazione del ruolo collegato ai servizi `AWSServiceRoleForServiceCatalogOrgsDataSync`
Non è necessario creare manualmente il ruolo collegato al `AWSServiceRoleForServiceCatalogOrgsDataSync` servizio. AWS Service Catalog considera la vostra azione di attivazione [Condivisione con AWS Organizations](catalogs_portfolios_sharing_how-to-share.md#portfolio-sharing-organizations) o [Condivisione di un portafoglio](catalogs_portfolios_sharing_how-to-share.md) autorizzazione AWS Service Catalog alla creazione di una reflex in background per vostro conto.
AWS Service Catalog crea automaticamente il ruolo collegato al servizio quando lo richiedi `EnableAWSOrganizationsAccess` o `CreatePortfolioShare` nella Console di gestione AWS, la o l' AWS CLI API. AWS
**Importante**
Questo ruolo collegato ai servizi può apparire nell'account se è stata completata un'operazione in un altro servizio che utilizza le funzionalità supportate dal ruolo. Per ulteriori informazioni, consulta [Un nuovo ruolo è apparso nel mio account IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando richiedi `EnableAWSOrganizationsAccess` o`CreatePortfolioShare`, AWS Service Catalog crea nuovamente il ruolo collegato al servizio per te.
## Modifica di un ruolo collegato al servizio per AWS Service Catalog
AWS Service Catalog non consente di modificare i ruoli `AWSServiceRoleForServiceCatalogSync` o i ruoli collegati al `AWSServiceRoleForServiceCatalogOrgsDataSync` servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per AWS Service Catalog
Puoi utilizzare la console IAM, la AWS CLI o l' AWS API per eliminare manualmente la `AWSServiceRoleForServiceCatalogSync` o `AWSServiceRoleForServiceCatalogOrgsDataSync` la SLR. Per fare ciò, devi prima rimuovere manualmente tutte le risorse che utilizzano il ruolo collegato al servizio (ad esempio, tutti AWS Service Catalog i prodotti sincronizzati con un repository esterno), quindi il ruolo collegato al servizio può essere eliminato manualmente.
## AWS Service Catalog Aree supportate per i ruoli collegati ai servizi
AWS Service Catalog supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta [Regioni ed endpoint di AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
****
| Nome della Regione | Identità della Regione | Support in AWS Service Catalog |
| --- | --- | --- |
| Stati Uniti orientali (Virginia settentrionale) | us-east-1 | Sì |
| Stati Uniti orientali (Ohio) | us-east-2 | Sì |
| Stati Uniti occidentali (California settentrionale) | us-west-1 | Sì |
| Stati Uniti occidentali (Oregon) | us-west-2 | Sì |
| Africa (Città del Capo) | af-south-1 | Sì |
| Asia Pacific (Hong Kong) | ap-east-1 | Sì |
| Asia Pacifico (Giacarta) | ap-southeast-3 | Sì |
| Asia Pacifico (Mumbai) | ap-south-1 | Sì |
| Asia Pacifico (Osaka) | ap-northeast-3 | Sì |
| Asia Pacifico (Seoul) | ap-northeast-2 | Sì |
| Asia Pacifico (Singapore) | ap-southeast-1 | Sì |
| Asia Pacifico (Sydney) | ap-southeast-2 | Sì |
| Asia Pacifico (Tokyo) | ap-northeast-1 | Sì |
| Canada (Centrale) | ca-central-1 | Sì |
| Europa (Francoforte) | eu-central-1 | Sì |
| Europa (Irlanda) | eu-west-1 | Sì |
| Europa (Londra) | eu-west-2 | Sì |
| Europe (Milan) | eu-south-1 | Sì |
| Europa (Parigi) | eu-west-3 | Sì |
| Europa (Stoccolma) | eu-north-1 | Sì |
| Medio Oriente (Bahrein) | me-south-1 | Sì |
| Sud America (San Paolo) | sa-east-1 | Sì |
| AWS GovCloud (Stati Uniti orientali) | us-gov-east-1 | No |
| AWS GovCloud (Stati Uniti occidentali) | us-gov-west-1 | No |
# Risoluzione dei problemi di AWS Service Catalog identità e accesso
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con AWS Service Catalog un IAM.
**Topics**
+ [Non sono autorizzato a eseguire alcuna azione in AWS Service Catalog](#troubleshoot-one)
+ [Non sono autorizzato a eseguire `iam:PassRole`](#troubleshoot-two)
+ [Voglio consentire a persone esterne al mio AWS account di accedere alle mie AWS Service Catalog risorse](#troubleshoot-five)
## Non sono autorizzato a eseguire alcuna azione in AWS Service Catalog
Se ti Console di gestione AWS dice che non sei autorizzato a eseguire un'azione, devi contattare l'amministratore per ricevere assistenza. L’amministratore è colui che ti ha fornito le credenziali di accesso. L'errore di esempio seguente si verifica quando l'utente mateojackson tenta di utilizzare la console per visualizzare i dettagli su una my-example-widget risorsa fittizia ma non dispone delle autorizzazioni fittizie. `aws:GetWidget`
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: aws:GetWidget on resource: my-example-widget
```
In questo caso, Mateo chiede al suo amministratore di aggiornare le policy per poter accedere alla risorsa `my-example-widget` mediante l'operazione `aws:GetWidget`.
## Non sono autorizzato a eseguire `iam:PassRole`
Se ricevi un errore che indica che non sei autorizzato a eseguire l'operazione `iam:PassRole`, devi contattare il tuo amministratore per ricevere assistenza. L'amministratore è la persona da cui si sono ricevuti il nome utente e la password. Richiedi a tale persona di aggiornare le tue policy per poter passare un ruolo a AWS Service Catalog.
Alcuni AWS servizi consentono di passare un ruolo esistente a quel servizio, anziché creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
L'errore di esempio seguente si verifica quando un utente di nome marymajor tenta di utilizzare la console per eseguire un'azione in. AWS Service Catalog Tuttavia, l'operazione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, Mary chiede al suo amministratore di aggiornare le sue politiche per consentirle di eseguire l'azione iam:PassRole .
## Voglio consentire a persone esterne al mio AWS account di accedere alle mie AWS Service Catalog risorse
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per concedere alle persone l'accesso alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ [https://docs.aws.amazon.com/servicecatalog/latest/adminguide/controlling_access.html](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/controlling_access.html)
+ Per scoprire come fornire l'accesso alle tue risorse su tutti AWS gli account di tua proprietà, consulta [Fornire l'accesso a un utente IAM in un altro AWS account di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *Guida per l'utente IAM*.
+ Per scoprire come fornire l'accesso alle tue risorse ad AWS account di terze parti, consulta [Fornire l'accesso agli AWS account di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *IAM User Guide*.
+ Per informazioni su come fornire l’accesso tramite la federazione delle identità, consulta [Fornire l’accesso a utenti autenticati esternamente (Federazione delle identità)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l’utente IAM*.
+ Per informazioni sulle differenze tra l'utilizzo di ruoli e policy basate su risorse per l'accesso multi-account, consulta [Differenza tra i ruoli IAM e le policy basate su risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) nella *Guida per l'utente IAM*.
# Controllo dell'accesso
un AWS Service Catalog portfolio offre agli amministratori un livello di controllo degli accessi per i gruppi di utenti finali. Gli utenti aggiunti a un portafoglio possono sfogliare e avviare tutti i prodotti. Per ulteriori informazioni, consulta [Gestione di portafogli](catalogs_portfolios.md).
## Vincoli
I vincoli controllano quali regole vengono applicate agli utenti finali quando si avvia un prodotto da un portafoglio specifico. Puoi utilizzarli per applicare vincoli ai prodotti allo scopo di controllare governance o costi. Per ulteriori informazioni sui vincoli, consulta [Utilizzo dei AWS Service Catalog vincoli](constraints.md).
AWS Service Catalog i vincoli di avvio offrono un maggiore controllo sulle autorizzazioni necessarie a un utente finale. Quando l'amministratore crea un vincolo di avvio per un prodotto in un portafoglio, il vincolo di avvio associa un ARN di ruolo utilizzato quando gli utenti finali avviano il prodotto dal portafoglio. Utilizzando questo modello, è possibile controllare l'accesso alla AWS creazione di risorse. Per ulteriori informazioni, consulta [AWS Service Catalog Vincoli di avvio](constraints-launch.md).