Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Configurare l'accesso a Account AWS
<a name="manage-your-accounts"></a>

AWS IAM Identity Center è integrato con AWS Organizations, il che ti consente di gestire centralmente le autorizzazioni su più account Account AWS senza configurare manualmente ciascuno dei tuoi account. Puoi definire le autorizzazioni e assegnarle agli utenti della forza lavoro per controllarne l'accesso a risorse specifiche Account AWS utilizzando un'istanza [organizzativa](organization-instances-identity-center.md) di IAM Identity Center. [Le istanze di account](account-instances-identity-center.md) di IAM Identity Center non supportano l'accesso all'account.

## Account AWS tipi
<a name="account-types"></a>

Esistono due tipi di Account AWS ingresso AWS Organizations:
+ **Account di gestione**: viene utilizzato per creare l'organizzazione. Account AWS 
+ **Account dei membri**: Account AWS il resto appartiene a un'organizzazione.

Per ulteriori informazioni sui Account AWS tipi, vedere [AWS Organizations Terminologia e concetti](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) nella *Guida per l'AWS Organizations utente*.

Puoi anche scegliere di registrare un account membro come *amministratore delegato* per IAM Identity Center. Gli utenti di questo account possono eseguire la maggior parte delle attività amministrative di IAM Identity Center. Per ulteriori informazioni, consulta [Amministrazione delegata](delegated-admin.md).

Per ogni attività e tipo di account, la tabella seguente indica se l'attività amministrativa di IAM Identity Center può essere eseguita dagli utenti dell'account.


****  

| Attività amministrative di IAM Identity Center | Account membro | Account amministratore delegato | Gestione dell'account | 
| --- | --- | --- | --- | 
| Leggi utenti o gruppi (lettura del gruppo stesso e dei membri del gruppo) | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì | 
| Aggiungere, modificare o eliminare utenti o gruppi | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png) No | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png)Sì\$1 | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì | 
| Abilita o disabilita l'accesso degli utenti | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png) No | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì | 
| Abilita, disabilita o gestisci gli attributi in entrata | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png) No | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì | 
| Modifica o gestisci le fonti di identità | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png) No | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì | 
| Crea, modifica o elimina applicazioni gestite dai clienti | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png) No | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì | 
| Creare, modificare o eliminare applicazioni AWS gestite | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì | 
| Configurazione MFA | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png) No | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì | 
| Gestisci i set di autorizzazioni non forniti nell'account di gestione | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png) No | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì | 
| Gestisci i set di autorizzazioni forniti nell'account di gestione | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png) No | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png) No | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì | 
| Abilita IAM Identity Center | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png) No | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png) No | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì | 
| Elimina la configurazione di IAM Identity Center | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png) No | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png) No | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì | 
| Abilita o disabilita l'accesso degli utenti nell'account di gestione | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png) No | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png) No | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì | 
| Registrare o annullare la registrazione di un account membro come amministratore delegato | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png) No | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png) No | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì | 

\$1Consulta le migliori pratiche per l'amministrazione delegata relative all'assegnazione di utenti e gruppi all'account di gestione.

## Assegnazione dell'accesso Account AWS
<a name="assigning-account-access"></a>

È possibile utilizzare i *set di autorizzazioni* per semplificare il modo in cui si assegna l'accesso a Account AWS utenti e gruppi dell'organizzazione. I set di autorizzazioni sono archiviati in IAM Identity Center e definiscono il livello di accesso che utenti e gruppi hanno a un Account AWS. Puoi creare un singolo set di autorizzazioni e assegnarlo a più set Account AWS all'interno della tua organizzazione. È inoltre possibile assegnare più set di autorizzazioni allo stesso utente.

Per ulteriori informazioni sui set di autorizzazioni, consulta [Creare, gestire ed eliminare set di autorizzazioni](permissionsets.md).

**Nota**  
Puoi anche assegnare ai tuoi utenti l'accesso Single Sign-On alle applicazioni. Per informazioni, consulta [Configurare l'accesso alle applicazioni](manage-your-applications.md).

## Esperienza dell'utente finale
<a name="end-user-experience"></a>

Il *portale di AWS accesso* fornisce agli utenti di IAM Identity Center l'accesso Single Sign-On a tutti i loro assegnati Account AWS e alle applicazioni tramite un portale web. Il portale di AWS accesso è diverso dal [Console di gestione AWS](https://docs.aws.amazon.com//awsconsolehelpdocs/latest/gsg/learn-whats-new.html), che è una raccolta di console di servizio per la gestione delle risorse. AWS 

Quando si crea un set di autorizzazioni, il nome specificato per il set di autorizzazioni viene visualizzato nel portale di AWS accesso come ruolo disponibile. Gli utenti AWS accedono al portale di accesso, ne scelgono uno Account AWS e quindi scelgono il ruolo. Dopo aver scelto il ruolo, possono accedere ai AWS servizi utilizzando Console di gestione AWS o recuperare le credenziali temporanee per accedere ai AWS servizi in modo programmatico.

Per aprire Console di gestione AWS o recuperare le credenziali temporanee per l'accesso AWS programmatico, gli utenti completano i seguenti passaggi:

1. Gli utenti aprono una finestra del browser e utilizzano l'URL di accesso fornito per accedere al portale di accesso. AWS 

1. Utilizzando le proprie credenziali di directory, accedono al portale di AWS accesso.

1. Dopo l'autenticazione, nella pagina del portale di AWS accesso, scelgono la scheda **Account** per visualizzare l'elenco Account AWS a cui hanno accesso.

1. Gli utenti scelgono quindi Account AWS quello che desiderano utilizzare.

1. Sotto il nome di Account AWS, tutti i set di autorizzazioni a cui sono assegnati gli utenti vengono visualizzati come ruoli disponibili. Ad esempio, se hai assegnato un utente `john_stiles` al set di `PowerUser` autorizzazioni, il ruolo viene visualizzato nel portale di AWS accesso come`PowerUser/john_stiles`. Gli utenti a cui sono assegnati più set di autorizzazioni scelgono il ruolo da utilizzare. Gli utenti possono scegliere il proprio ruolo per accedere a Console di gestione AWS.

1. **Oltre al ruolo, gli utenti del portale di AWS accesso possono recuperare credenziali temporanee per l'accesso da riga di comando o programmatico scegliendo le chiavi di accesso.**

Per step-by-step indicazioni da fornire agli utenti della forza lavoro, consulta e. [Configurazione e utilizzo del portale di AWS accesso](using-the-portal.md) [Ottenere le credenziali utente di IAM Identity Center per o AWS CLI AWS SDKs](howtogetcredentials.md)

## Far rispettare e limitare l'accesso
<a name="enforcing-and-limiting-access"></a>

Quando abiliti IAM Identity Center, IAM Identity Center crea un ruolo collegato al servizio. Puoi anche utilizzare le policy di controllo del servizio ()SCPs.

### Delegare e far rispettare l'accesso
<a name="delegating-and-enforcing-access"></a>

Un *ruolo collegato al servizio* è un tipo di ruolo IAM collegato direttamente a un servizio. AWS Dopo aver abilitato IAM Identity Center, IAM Identity Center può creare un ruolo collegato ai servizi in ciascuno Account AWS dei membri dell'organizzazione. Questo ruolo fornisce autorizzazioni predefinite che consentono a IAM Identity Center di delegare e stabilire quali utenti hanno accesso Single Sign-On a determinati membri dell'organizzazione. Account AWS AWS OrganizationsÈ necessario assegnare a uno o più utenti l'accesso a un account per utilizzare questo ruolo. Per ulteriori informazioni, consultare [Comprensione dei ruoli collegati ai servizi in IAM Identity Center](slrconcept.md) e [Utilizzo di ruoli collegati ai servizi per IAM Identity Center](using-service-linked-roles.md).

### Limitazione dell'accesso all'archivio di identità dagli account dei membri
<a name="limiting-access-from-member-accounts"></a>

Per il servizio di archiviazione delle identità utilizzato da IAM Identity Center, gli utenti che hanno accesso a un account membro possono utilizzare azioni API che richiedono autorizzazioni di **lettura**. **Gli account dei membri hanno accesso alle azioni di **lettura** sugli spazi dei nomi **sso-directory** e identitystore.** *Per ulteriori informazioni, vedere [Azioni, risorse e chiavi di condizione per la AWS IAM Identity Center directory e Azioni, risorse e chiavi di condizione per AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamidentitycenterdirectory.html) [Identity Store nel Service Authorization](https://docs.aws.amazon.com//service-authorization/latest/reference/list_awsidentitystore.html) Reference.*

Per impedire agli utenti degli account dei membri di utilizzare le operazioni API nell'archivio di identità, puoi [allegare una policy di controllo del servizio (SCP)](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_attach.html). Un SCP è un tipo di politica organizzativa che è possibile utilizzare per gestire le autorizzazioni all'interno dell'organizzazione. L'esempio seguente SCP impedisce agli utenti degli account dei membri di accedere a qualsiasi operazione API nell'archivio di identità.

```
        {
            "Sid": "ExplicitlyBlockIdentityStoreAccess",
            "Effect": "Deny",
            "Action": ["identitystore:*", "sso-directory:*"],
            "Resource": "*"
        }
```

**Nota**  
Per garantire il corretto funzionamento delle applicazioni AWS gestite con il vostro IAM Identity Center, dovreste evitare di applicare questo SCP al Account AWS luogo in cui avete distribuito tali applicazioni. Inoltre, se utilizzi l'amministrazione delegata, dovresti evitare di applicare questo SCP all'account di amministrazione delegato. Per ulteriori informazioni, consulta [Best practice](delegated-admin.md#delegated-admin-best-practices).

*Per ulteriori informazioni, vedete [Service control policies (SCPs)](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html) nella Guida per l'AWS Organizations utente.*

# Amministrazione delegata
<a name="delegated-admin"></a>

L'amministrazione delegata offre agli utenti assegnati in un account membro registrato un modo pratico per eseguire la maggior parte delle attività amministrative di IAM Identity Center. Quando abiliti IAM Identity Center, per impostazione predefinita, l'istanza IAM Identity Center viene AWS Organizations creata nell'account di gestione. Originariamente è stato progettato in questo modo per consentire a IAM Identity Center di effettuare il provisioning, il de-provisioning e l'aggiornamento dei ruoli in tutti gli account dei membri dell'organizzazione. Anche se l'istanza IAM Identity Center deve sempre risiedere nell'account di gestione, puoi scegliere di delegare l'amministrazione di IAM Identity Center a un account membro in AWS Organizations, estendendo così la capacità di gestire IAM Identity Center dall'esterno dell'account di gestione.

L'abilitazione dell'amministrazione delegata offre i seguenti vantaggi:
+ Riduce al minimo il numero di persone che richiedono l'accesso all'account di gestione per contribuire a mitigare i problemi di sicurezza
+ Consente ad amministratori selezionati di assegnare utenti e gruppi alle applicazioni e agli account dei membri dell'organizzazione

Per ulteriori informazioni su come funziona IAM Identity Center AWS Organizations, consulta. [Configurare l'accesso a Account AWS](manage-your-accounts.md) Per ulteriori informazioni e per esaminare uno scenario aziendale di esempio che mostra come configurare l'amministrazione delegata, consulta [Guida introduttiva all'amministrazione delegata di IAM Identity Center](https://aws.amazon.com/blogs/security/getting-started-with-aws-sso-delegated-administration/) nel *AWS Security* Blog.

**Topics**
+ [Best practice](#delegated-admin-best-practices)
+ [Prerequisiti](#delegated-admin-prereqs)
+ [Registra un account membro](delegated-admin-how-to-register.md)
+ [Annullamento della registrazione di un account membro](delegated-admin-how-to-deregister.md)
+ [Visualizza quale account membro è stato registrato come amministratore delegato](delegated-admin-how-to-view-member-account.md)

## Best practice
<a name="delegated-admin-best-practices"></a>

Ecco alcune best practice da considerare prima di configurare l'amministrazione delegata:
+ **Concedi il privilegio minimo all'account di gestione**: sapendo che l'account di gestione è un account con privilegi elevati e per rispettare il principio del privilegio minimo, consigliamo vivamente di limitare l'accesso all'account di gestione al minor numero di persone possibile. La funzionalità di amministratore delegato ha lo scopo di ridurre al minimo il numero di persone che richiedono l'accesso all'account di gestione. Puoi anche prendere in considerazione l'utilizzo di un [accesso temporaneo elevato](https://docs.aws.amazon.com/singlesignon/latest/userguide/temporary-elevated-access.html) per concedere questo accesso solo quando necessario.
+ **Set di autorizzazioni dedicati per l'account di gestione**: utilizza set di autorizzazioni dedicati per l'account di gestione. Per motivi di sicurezza, un set di autorizzazioni utilizzato per l'accesso all'account di gestione può essere modificato solo da un amministratore IAM Identity Center dell'account di gestione. L'amministratore delegato non può modificare i set di autorizzazioni forniti nell'account di gestione.
+ **Assegna solo gli utenti (non i gruppi) ai set di autorizzazioni nell'account di gestione**: poiché l'account di gestione dispone di privilegi speciali, è necessario prestare attenzione quando si assegna l'accesso a questo account nella console o ( AWS Command Line Interface CLI). Se si assegnano gruppi a set di autorizzazioni con accesso all'account di gestione, chiunque disponga delle autorizzazioni per modificare le appartenenze a tali gruppi può utilizzare tali gruppi e quindi influire sugli add/remove utenti to/from che hanno accesso all'account di gestione. Si tratta di qualsiasi amministratore di gruppo con il controllo sulla fonte di identità, incluso l'amministratore del provider di identità (IdP), l'amministratore del servizio di dominio Microsoft Active Directory (AD DS) o l'amministratore di IAM Identity Center. Pertanto, è necessario assegnare gli utenti direttamente ai set di autorizzazioni che concedono l'accesso nell'account di gestione ed evitare i gruppi. Se utilizzi i gruppi per gestire l'accesso all'account di gestione, assicurati che nell'IdP siano presenti controlli adeguati per limitare chi ha la possibilità di modificare tali gruppi e assicurati che le modifiche a tali gruppi (o le modifiche alle credenziali per gli utenti nell'account di gestione) vengano registrate e riviste, se necessario. 
+ **Considera la tua posizione in Active Directory**: se prevedi di utilizzare Active Directory come fonte di identità IAM Identity Center, individua la directory nell'account membro in cui hai abilitato la funzionalità di amministratore delegato di IAM Identity Center. Se decidi di modificare la fonte di identità di IAM Identity Center da qualsiasi altra fonte ad Active Directory o di cambiarla da Active Directory a qualsiasi altra fonte, la directory deve risiedere nell'account membro amministratore delegato di IAM Identity Center. Se desideri che Active Directory sia presente nell'account di gestione, devi eseguire la configurazione nell'account di gestione poiché l'amministratore delegato non disporrà delle autorizzazioni necessarie per completarla.

### Limita le azioni di archiviazione delle identità di IAM Identity Center nell'account di amministrazione delegato con fonti di identità esterne
<a name="delegated-admin-best-practices-external"></a>

Se utilizzi una fonte di identità esterna come un IdP o Directory Service, dovresti implementare politiche che limitino le azioni di archiviazione delle identità che un amministratore di IAM Identity Center può eseguire dall'interno dell'account di amministrazione delegato. Le operazioni di scrittura ed eliminazione devono essere considerate con attenzione. In genere, la fonte di identità esterna è la fonte di verità per gli utenti e i relativi attributi e per l'appartenenza ai gruppi. Se li modifichi utilizzando l'archivio di identità APIs o la console, le modifiche verranno sovrascritte durante i normali cicli di sincronizzazione. È meglio lasciare queste operazioni al controllo esclusivo della fonte di verità della propria identità. Ciò impedisce inoltre che un amministratore di IAM Identity Center modifichi le appartenenze ai gruppi per concedere l'accesso a un set di autorizzazioni o a un'applicazione assegnati dal gruppo, anziché lasciare il controllo dell'appartenenza al gruppo all'amministratore IdP. È inoltre necessario evitare chi può creare token SCIM bearer dall'account di amministrazione delegato, in quanto questi potrebbero consentire a un amministratore dell'account membro di modificare gruppi e utenti tramite un client SCIM.

Ci possono essere momenti in cui le operazioni di scrittura o cancellazione dall'account amministratore delegato sono appropriate. Ad esempio, puoi creare un gruppo senza aggiungere membri, quindi assegnare assegnazioni a un set di autorizzazioni senza dover attendere che l'amministratore IdP crei il gruppo. Nessuno avrà accesso a quell'assegnazione finché l'amministratore IdP non provvede al gruppo e il processo di sincronizzazione IdP non stabilisce i membri del gruppo. Potrebbe anche essere opportuno eliminare un utente o un gruppo per impedire l'accesso o l'autorizzazione durante un periodo in cui non è possibile attendere il processo di sincronizzazione IdP per rimuovere l'accesso dell'utente o del gruppo. Tuttavia, l'uso improprio di questa autorizzazione può causare problemi agli utenti. È necessario utilizzare il principio del privilegio minimo quando si assegnano le autorizzazioni dell'archivio di identità. È possibile controllare quali azioni di archiviazione delle identità sono consentite dagli amministratori degli account di amministrazione delegati utilizzando una policy di controllo del servizio (SCP).

L'esempio SCP riportato di seguito impedisce l'assegnazione di utenti a gruppi tramite l'API Identity Store e la Console di gestione AWS, operazione consigliata quando la fonte di identità è esterna. Ciò non influisce sulla sincronizzazione degli utenti da Directory Service o verso un IdP esterno (tramite SCIM).

**Nota**  
È possibile che, sebbene si utilizzi una fonte di identità esterna, l'organizzazione si affidi, in tutto o in parte, all'Identity Store APIs per la fornitura di utenti e gruppi. Pertanto, prima di attivare questo SCP, è necessario confermare che il processo di provisioning degli utenti non utilizzi questa operazione API di Identity Store. Inoltre, fate riferimento alla sezione successiva per informazioni su come limitare la gestione delle appartenenze ai gruppi a gruppi specifici.

```
{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    { "Effect": "Deny",
      "Action": ["identitystore:CreateGroupMembership"],
      "Resource": [ "*" ] }
  ]
}
```

Se desideri evitare di aggiungere utenti solo ai gruppi che concedono l'accesso all'account di gestione, puoi fare riferimento a quei gruppi specifici utilizzando l'ARN del gruppo nel seguente formato:. `arn:${Partition}:identitystore:::group/${GroupId}` Questo e altri tipi di risorse disponibili in Identity Store sono documentati in [Tipi di risorse definiti da AWS Identity Store](https://docs.aws.amazon.com//service-authorization/latest/reference/list_awsidentitystore.html#awsodemtotustpre-resoruces-for-iam-policies) nel *Service Authorization* Reference. Puoi anche prendere in considerazione l'inclusione di un Identity Store aggiuntivo APIs in SCP. Per ulteriori informazioni, consulta [Actions](https://docs.aws.amazon.com//singlesignon/latest/IdentityStoreAPIReference/API_Operations.html) in the Identity Store API Reference.

Aggiungendo la seguente dichiarazione politica al tuo SCP, puoi impedire la creazione di token portatori SCIM da parte dell'amministratore delegato. Puoi applicarlo a entrambe le fonti di identità esterne. 

**Nota**  
Se l'amministratore delegato deve configurare il provisioning degli utenti con SCIM o eseguire la rotazione periodica del token SCIM bearer, dovrai consentire temporaneamente l'accesso a questa API per consentire all'amministratore delegato di completare tali attività.

```
    { "Effect": "Deny",
      "Action": ["sso-directory:CreateBearerToken"],
      "Resource": [ "*" ]
    }
```

### Limita le azioni di archiviazione delle identità di IAM Identity Center nell'account di amministrazione delegato per gli utenti gestiti localmente
<a name="delegated-admin-best-practices-locally-managed"></a>

Se crei utenti e gruppi direttamente in IAM Identity Center, anziché utilizzare un IdP esterno o Directory Service, dovresti prendere precauzioni per chi può creare utenti, reimpostare le password e controllare l'appartenenza ai gruppi. Queste azioni conferiscono all'amministratore ampi poteri su chi può accedere e chi può accedervi tramite l'appartenenza a gruppi. Il modo migliore per implementare queste policy è come policy in linea all'interno dei set di autorizzazioni utilizzate per gli amministratori di IAM Identity Center, piuttosto che come. SCPs L'esempio seguente di politica in linea ha due obiettivi. Innanzitutto, impedisce l'aggiunta di utenti a gruppi specifici. Puoi usarlo per impedire agli amministratori delegati di aggiungere utenti ai gruppi che concedono l'accesso all'account di gestione. In secondo luogo, impedisce l'emissione di token al portatore SCIM.

```
{ 
  "Version": "2012-10-17", 		 	 	 
  "Statement": [ 
  { "Effect": "Deny", 
    "Action": ["identitystore:CreateGroupMembership"],
    "Resource": [ arn:${Partition}:identitystore:::group/${GroupId1}, 
                  arn:${Partition}:identitystore:::group/${GroupId2} 
                 ] 
   }
  ],
  { "Effect": "Deny", 
    "Action": ["sso-directory:CreateBearerToken"],
    "Resource": [ "*" ] }
  ]
}
```

### Separa la gestione della configurazione di IAM Identity Center dalla gestione PermissionSet
<a name="delegated-admin-best-practices-configuration-management"></a>

Separa le attività amministrative, tra cui la modifica dell'origine dell'identità esterna, la gestione dei token SCIM, la configurazione del timeout della sessione, dalle attività di creazione, modifica e assegnazione dei set di autorizzazioni creando set di autorizzazioni di amministrazione distinti dal tuo account di gestione.

### Limita l'emissione di token portatori SCIM
<a name="delegated-admin-best-practices-limit-tokens"></a>

I token portatori SCIM consentono a una fonte di identità esterna di fornire utenti, gruppi e appartenenze ai gruppi tramite il protocollo SCIM quando la fonte di identità del tuo IAM Identity Center è un IdP esterno come Okta o Entra ID. È possibile configurare il seguente SCP per impedire la creazione di token portatori SCIM da parte degli amministratori delegati. Se l'amministratore delegato deve configurare il provisioning degli utenti con SCIM o eseguire la rotazione periodica dei token SCIM bearer, sarà necessario consentire temporaneamente l'accesso a questa API per consentire all'amministratore delegato di completare tali attività.

```
    { "Effect": "Deny",
      "Action": ["sso-directory:CreateBearerToken"],
      "Resource": [ "*" ] 
}
```

### Utilizzate i tag dei set di autorizzazioni e gli elenchi di account per delegare l'amministrazione di account specifici
<a name="delegated-admin-best-practices-specific-accounts"></a>

Puoi creare set di autorizzazioni da assegnare agli amministratori del tuo IAM Identity Center per delegare chi può creare set di autorizzazioni e chi può assegnare quali set di autorizzazioni in quali account. Questo viene fatto etichettando i set di autorizzazioni e utilizzando le condizioni delle policy nei set di autorizzazioni assegnati agli amministratori. Ad esempio, è possibile creare set di autorizzazioni che consentono a un utente di creare set di autorizzazioni a condizione che venga etichettato in un determinato modo. È inoltre possibile creare politiche che consentano a un amministratore di assegnare set di autorizzazioni con un tag specifico in determinati account. In questo modo è possibile delegare la gestione degli account senza concedere a un amministratore i privilegi per modificare il proprio accesso e i privilegi sull'account di amministrazione delegato. Ad esempio, etichettando i set di autorizzazioni utilizzati solo nell'account di amministrazione delegato, è possibile specificare una politica che conceda solo a determinate persone le autorizzazioni per modificare i set di autorizzazioni e le assegnazioni che influiscono sull'account di amministrazione delegato. È inoltre possibile concedere ad altre persone le autorizzazioni per gestire un elenco di account esterni all'account di amministrazione delegato. *Per ulteriori informazioni, consulta la sezione [Delega della gestione dei set di autorizzazioni e dell'assegnazione degli account AWS IAM Identity Center nel Security](https://aws.amazon.com/blogs/security/delegating-permission-set-management-and-account-assignment-in-aws-iam-identity-center/) Blog.AWS *

## Prerequisiti
<a name="delegated-admin-prereqs"></a>

Prima di poter registrare un account come amministratore delegato, devi prima aver distribuito il seguente ambiente:
+ AWS Organizations deve essere abilitato e configurato con almeno un account membro oltre all'account di gestione predefinito. 
+ Se l'origine dell'identità è impostata su Active Directory, la [Sincronizzazione AD configurabile con IAM Identity Center](provision-users-from-ad-configurable-ADsync.md) funzionalità deve essere abilitata.

# Registra un account membro
<a name="delegated-admin-how-to-register"></a>

Per configurare l'amministrazione delegata, devi prima registrare un account membro nella tua organizzazione come amministratore delegato. Gli utenti di quell'account membro che dispongono di autorizzazioni sufficienti avranno accesso amministrativo a IAM Identity Center. Dopo che un account membro è stato registrato con successo per l'amministrazione delegata, viene denominato account amministratore *delegato*. Per ulteriori informazioni sulle attività che l'account amministratore delegato può eseguire, consulta. [Account AWS tipi](manage-your-accounts.md#account-types)

IAM Identity Center supporta la registrazione di un solo account membro come amministratore delegato alla volta. Puoi registrare un account membro solo dopo aver effettuato l'accesso con le credenziali dell'account di gestione.

Utilizza la seguente procedura per concedere l'accesso amministrativo a IAM Identity Center registrando un account membro specifico nell' AWS organizzazione come amministratore delegato.

**Importante**  
Questa operazione delega l'accesso amministrativo di IAM Identity Center agli utenti amministratori di questo account membro. Tutti gli utenti che dispongono di autorizzazioni sufficienti per questo account amministratore delegato possono eseguire tutte le attività amministrative di IAM Identity Center dall'account, ad eccezione di:   
Abilitazione di IAM Identity Center
Eliminazione delle configurazioni di IAM Identity Center
Gestione dei set di autorizzazioni forniti nell'account di gestione
Registrazione o cancellazione degli account di altri membri come amministratori delegati
Abilitazione o disabilitazione dell'accesso utente nell'account di gestione
L'amministratore delegato può modificare l'appartenenza al gruppo.

**Per registrare un account membro**

1. Accedi Console di gestione AWS utilizzando le credenziali del tuo account di gestione in AWS Organizations. Le credenziali dell'account di gestione sono necessarie per eseguire l'[RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html)API.

1. Seleziona la regione in cui è abilitato IAM Identity Center, quindi apri la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Scegli **Impostazioni**, quindi seleziona la scheda **Gestione**.

1. Nella sezione **Amministratore delegato**, scegli **Registra account**.

1. Nella pagina **Registra amministratore delegato**, seleziona l'account Account AWS che desideri registrare, quindi scegli **Registra** account.

# Annullamento della registrazione di un account membro
<a name="delegated-admin-how-to-deregister"></a>

Puoi annullare la registrazione di un account membro solo dopo aver effettuato l'accesso con le credenziali dell'account di gestione.

Utilizza la seguente procedura per rimuovere l'accesso amministrativo da IAM Identity Center annullando la registrazione di un account membro AWS dell'organizzazione che era stato precedentemente designato come amministratore delegato.

**Importante**  
Quando annulli la registrazione di un account, rimuovi di fatto la possibilità per tutti gli utenti amministratori di gestire IAM Identity Center da quell'account. Di conseguenza, non possono più amministrare le identità di IAM Identity Center, la gestione degli accessi, l'autenticazione o l'accesso alle applicazioni da questo account. Questa operazione non influirà sulle autorizzazioni o sulle assegnazioni configurate in IAM Identity Center e pertanto non avrà alcun impatto sugli utenti finali, che continueranno ad avere accesso alle loro app e Account AWS dall'interno del portale di accesso. AWS 

**Per annullare la registrazione di un account membro**

1. Accedi Console di gestione AWS utilizzando le credenziali del tuo account di gestione in. AWS Organizations Le credenziali dell'account di gestione sono necessarie per eseguire l'[DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)API.

1. Seleziona la regione in cui è abilitato IAM Identity Center, quindi apri la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Scegli **Impostazioni**, quindi seleziona la scheda **Gestione**.

1. Nella sezione **Amministratore delegato**, scegli **Annulla registrazione account**.

1. Nella finestra di **dialogo Annulla registrazione account**, esamina le implicazioni sulla sicurezza, quindi inserisci il nome dell'account membro per confermare di aver compreso. 

1. Scegli Annulla registrazione **account.**

# Visualizza quale account membro è stato registrato come amministratore delegato
<a name="delegated-admin-how-to-view-member-account"></a>

Utilizza la seguente procedura per scoprire quale account membro del tuo account AWS Organizations è stato configurato come amministratore delegato per IAM Identity Center.

**Per visualizzare il tuo account di membro registrato**

1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).

1. Seleziona **Impostazioni**. 

1. Nella sezione **Dettagli**, individua il nome dell'account registrato in **Amministratore delegato**. È inoltre possibile individuare queste informazioni selezionando la scheda **Gestione** e visualizzandole nella sezione **Amministratore delegato**.

# Accesso temporaneo elevato per Account AWS
<a name="temporary-elevated-access"></a>

Ogni accesso al tuo Account AWS implica un certo livello di privilegio. Le operazioni sensibili, come la modifica della configurazione per un ambiente di produzione, richiedono un trattamento speciale a causa della portata e del potenziale impatto. L'accesso temporaneo con privilegi elevati (noto anche come just-in-time accesso) è un modo per richiedere, approvare e tenere traccia dell'uso di un'autorizzazione per eseguire un'attività specifica in un periodo di tempo specificato. L'accesso temporaneo con privilegi elevati integra altre forme di controllo degli accessi, come i set di autorizzazioni e l'autenticazione a più fattori.

**Nota**  
Per garantire la continuità aziendale, si consiglia di [configurare l'accesso di emergenza a](https://docs.aws.amazon.com/singlesignon/latest/userguide/emergency-access.html). Console di gestione AWS

Per soddisfare una vasta gamma di esigenze dei clienti, AWS IAM Identity Center si integra con le soluzioni dei partner AWS Security Competency. AWS convalida che queste soluzioni soddisfino una serie comune di requisiti di accesso temporanei elevati. Ti consigliamo di esaminare attentamente ogni soluzione partner in modo da poter scegliere quella più adatta alle tue esigenze e preferenze specifiche, tra cui la tua attività, l'architettura del tuo ambiente cloud e il tuo budget.

Le soluzioni convalidate includono [Apono Access Management Platform](https://www.apono.io/), [CyberArk Secure Cloud Access](https://www.cyberark.com/products/secure-cloud-access/), [Okta Access Requests](https://help.okta.com/en-us/Content/Topics/identity-governance/access-requests/ar-overview.htm) e [Tenable](https://ermetic.com/solution/just-in-time/) (precedentemente Ermetic).

I partner possono proporre soluzioni utilizzando l'applicazione Security Competency disponibile nel AWS Partner Center. Per ulteriori informazioni, consulta [AWS Security Competency](https://aws.amazon.com/security/partner-solutions/) Partners.

**Nota**  
Se utilizzi Amazon Elastic AWS Key Management Service Kubernetes Service basato su risorse [oppure consulta i set di autorizzazioni di riferimento nelle politiche delle risorse, le mappe di configurazione AWS KMS dei cluster Amazon EKS e le politiche](https://docs.aws.amazon.com/singlesignon/latest/userguide/referencingpermissionsets.html) chiave prima di scegliere la soluzione. just-in-time

# Accesso Single Sign-On a Account AWS
<a name="useraccess"></a>

[È possibile assegnare agli utenti della directory connessa le autorizzazioni all'account di gestione o agli account dei membri dell'organizzazione in AWS Organizations base alle funzioni lavorative comuni.](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) In alternativa, è possibile utilizzare autorizzazioni personalizzate per soddisfare i requisiti specifici di sicurezza. Ad esempio, puoi concedere agli amministratori di database ampie autorizzazioni ad Amazon RDS negli account di sviluppo, ma limitare le loro autorizzazioni negli account di produzione. IAM Identity Center configura automaticamente tutte le autorizzazioni utente necessarie. Account AWS 

**Nota**  
Potrebbe essere necessario concedere a utenti o gruppi le autorizzazioni per operare nell' AWS Organizations account di gestione. Poiché si tratta di un account con privilegi elevati, per ulteriori restrizioni di sicurezza è necessario disporre della politica di [IAMFullaccesso](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/IAMFullAccess) o di autorizzazioni equivalenti prima di poterlo configurare. Queste restrizioni di sicurezza aggiuntive non sono richieste per nessuno degli account membro dell'organizzazione. AWS 

**Topics**
+ [Assegna l'accesso a utenti o gruppi a Account AWS](assignusers.md)
+ [Rimuovere l'accesso di utenti e gruppi a un Account AWS](howtoremoveaccess.md)
+ [Revoca le sessioni di ruolo IAM attive create dai set di autorizzazioni](revoke-user-permissions.md)
+ [Delega chi può assegnare l'accesso Single Sign-On a utenti e gruppi nell'account di gestione](howtodelegatessoaccess.md)

# Assegna l'accesso a utenti o gruppi a Account AWS
<a name="assignusers"></a>

Utilizzare la procedura seguente per assegnare l'accesso Single Sign-On a utenti e gruppi nella directory connessa e utilizzare i set di autorizzazioni per determinarne il livello di accesso.

Per verificare l'accesso esistente di utenti e gruppi, vedere. [Visualizzare e modificare un set di autorizzazioni](howtoviewandchangepermissionset.md)

**Nota**  
Per semplificare l'amministrazione delle autorizzazioni di accesso, ti consigliamo di assegnare l'accesso direttamente ai gruppi anziché ai singoli utenti. I gruppi ti consentono di concedere o negare autorizzazioni a più utenti senza dover applicare tali autorizzazioni a ogni singola persona. Se un utente passa a un'altra organizzazione, devi solo spostare tale utente in un altro gruppo affinché riceva automaticamente le autorizzazioni necessarie per la nuova organizzazione.

**Per assegnare l'accesso a utenti o gruppi a Account AWS**

1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
**Nota**  
Assicurati che la console IAM Identity Center utilizzi la regione in cui si trova la tua AWS Managed Microsoft AD directory prima di passare alla fase successiva.

1. Nel pannello di navigazione, in **Autorizzazioni multiaccount, scegli**. **Account AWS**

1. Nella **Account AWS**pagina viene visualizzato un elenco ad albero della tua organizzazione. Seleziona la casella di controllo accanto Account AWS alla quale desideri assegnare l'accesso. Se stai configurando l'accesso amministrativo per IAM Identity Center, seleziona la casella di controllo accanto all'account di gestione.
**Nota**  
Puoi selezionarne fino a 10 Account AWS alla volta per set di autorizzazioni quando assegni l'accesso Single Sign-On a utenti e gruppi. Per assegnare più di 10 utenti e gruppi Account AWS allo stesso set di utenti e gruppi, ripeti questa procedura come richiesto per gli account aggiuntivi. Quando richiesto, seleziona gli stessi utenti, gruppi e set di autorizzazioni.

1. Scegli **Assegna utenti o gruppi**. 

1. Per il **Passaggio 1: Seleziona utenti e gruppi**, nella pagina **Assegna utenti e gruppi a "*AWS-account-name*"**, procedi come segue:

   1. Nella scheda **Utenti**, seleziona uno o più utenti a cui concedere l'accesso Single Sign-On.

      Per filtrare i risultati, inizia a digitare il nome dell'utente che desideri nella casella di ricerca.

   1. Nella scheda **Gruppi**, seleziona uno o più gruppi a cui concedere l'accesso Single Sign-On.

      Per filtrare i risultati, inizia a digitare il nome del gruppo che desideri nella casella di ricerca.

   1. Per visualizzare gli utenti e i gruppi selezionati, scegli il triangolo laterale accanto a **Utenti e gruppi selezionati**.

   1. **Dopo aver confermato che sono stati selezionati gli utenti e i gruppi corretti, scegli Avanti.**

1. Per il **Passaggio 2: Seleziona i set di autorizzazioni**, nella pagina **Assegna set di autorizzazioni a *AWS-account-name* ""**, procedi come segue:

   1. Seleziona uno o più set di autorizzazioni. Se necessario, è possibile creare e selezionare nuovi set di autorizzazioni.
      + Per selezionare uno o più set di autorizzazioni esistenti, in **Set** di autorizzazioni, seleziona i set di autorizzazioni che desideri applicare agli utenti e ai gruppi selezionati nel passaggio precedente.
      + Per creare uno o più nuovi set di autorizzazioni, scegli **Crea set di autorizzazioni** e segui i passaggi indicati[Creare un set di autorizzazioni](howtocreatepermissionset.md). Dopo aver creato i set di autorizzazioni che desideri applicare, nella console IAM Identity Center, torna **Account AWS**e segui le istruzioni fino a raggiungere la **Fase 2: Seleziona i set di autorizzazioni**. Una volta raggiunto questo passaggio, seleziona i nuovi set di autorizzazioni che hai creato e procedi al passaggio successivo di questa procedura.

   1. Dopo aver confermato che sono stati selezionati i set di autorizzazioni corretti, scegli **Avanti**.

1. Per la **Fase 3: Revisione e invio**, nella pagina **Rivedi e invia le assegnazioni a *AWS-account-name* ""**, procedi come segue:

   1. Rivedi gli utenti, i gruppi e i set di autorizzazioni selezionati.

   1. Dopo aver verificato che siano selezionati gli utenti, i gruppi e i set di autorizzazioni corretti, scegli **Invia**.

**Considerazioni**
   + Il completamento del processo di assegnazione di utenti e gruppi potrebbe richiedere alcuni minuti. Lascia aperta questa pagina fino al completamento del processo.
   + 
**Nota**  
Potrebbe essere necessario concedere a utenti o gruppi le autorizzazioni per operare nell'account di AWS Organizations gestione. Poiché si tratta di un account con privilegi elevati, per ulteriori restrizioni di sicurezza è necessario disporre della politica di [IAMFullaccesso](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/IAMFullAccess) o di autorizzazioni equivalenti prima di poterlo configurare. Queste restrizioni di sicurezza aggiuntive non sono richieste per nessuno degli account membro dell'organizzazione. AWS 

1. Se si verifica una delle seguenti condizioni, segui i passaggi [Richiedi agli utenti l'MFA](mfa-getting-started.md) per abilitare l'MFA per IAM Identity Center:
   + Stai utilizzando la directory predefinita di Identity Center come fonte di identità.
   + Stai utilizzando una AWS Managed Microsoft AD directory o una directory autogestita in Active Directory come origine dell'identità e non stai usando RADIUS AWS Directory Service MFA con.
**Nota**  
Se utilizzi un provider di identità esterno, tieni presente che l'IdP esterno, non IAM Identity Center, gestisce le impostazioni MFA. L'MFA in IAM Identity Center non è supportata per l'uso da parte di utenti esterni. IdPs 

Quando si configura l'accesso all'account per l'utente amministrativo, il Centro identità IAM crea un ruolo IAM corrispondente. Questo ruolo, controllato da IAM Identity Center, viene creato nell'area pertinente Account AWS e le politiche specificate nel set di autorizzazioni sono allegate al ruolo. 

In alternativa, è possibile utilizzare [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_SSO.html)per creare e assegnare set di autorizzazioni e assegnare utenti a tali set di autorizzazioni. Gli utenti possono quindi [accedere al portale di AWS accesso](howtosignin.md) o utilizzare i comandi [AWS Command Line Interface (AWS CLI).](https://docs.aws.amazon.com/singlesignon/latest/userguide/integrating-aws-cli.html)

# Rimuovere l'accesso di utenti e gruppi a un Account AWS
<a name="howtoremoveaccess"></a>

Utilizzare questa procedura per rimuovere l'accesso Single Sign-On a uno Account AWS o più utenti e gruppi nella directory connessa. In alternativa, è possibile utilizzare l'[delete-account-assignment](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/delete-account-assignment.html) AWS CLI.

**Nota**  
Quando devi rimuovere il provisioning di utenti o gruppi di IAM Identity Center, devi prima [rimuovere qualsiasi assegnazione di set di autorizzazioni](howtoremovepermissionset.md) dai tuoi utenti e gruppi prima di eliminare gli utenti e i gruppi.

**Per rimuovere l'accesso di utenti e gruppi a un Account AWS**

1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).

1. Nel riquadro di navigazione, in **Autorizzazioni multiaccount, scegli**. **Account AWS**

1. Nella **Account AWS**pagina viene visualizzato un elenco ad albero della tua organizzazione. Seleziona il nome dell'account Account AWS che contiene gli utenti e i gruppi per i quali desideri rimuovere l'accesso Single Sign-On.

1. Nella pagina **Panoramica** relativa a Account AWS, in **Utenti e gruppi assegnati**, seleziona il nome di uno o più utenti o gruppi e scegli **Rimuovi** accesso.

1. Nella finestra di dialogo **Rimuovi accesso**, conferma che i nomi degli utenti o dei gruppi siano corretti e scegli **Rimuovi accesso**. 

# Revoca le sessioni di ruolo IAM attive create dai set di autorizzazioni
<a name="revoke-user-permissions"></a>

 Di seguito è riportata una procedura generale per revocare una sessione attiva del set di autorizzazioni per un utente IAM Identity Center. La procedura presuppone che si desideri rimuovere tutti gli accessi per un utente che ha credenziali compromesse o per un malintenzionato presente nel sistema. Il prerequisito è aver seguito le indicazioni contenute in. [Preparati a revocare una sessione di ruolo IAM attiva creata da un set di autorizzazioni](prereqs-revoking-user-permissions.md#prepare-to-revoke-session) Partiamo dal presupposto che la politica di negazione totale sia presente in una politica di controllo del servizio (SCP). 

**Nota**  
AWS consiglia di creare l'automazione per gestire tutti i passaggi tranne le operazioni solo su console.

1. **Ottieni l'ID utente della persona a cui devi revocare l'accesso.** Puoi utilizzare l'archivio di identità APIs per trovare l'utente in base al suo nome utente.

1. **Aggiorna la politica di rifiuto per aggiungere l'ID utente dal passaggio 1 della politica di controllo del servizio (SCP).** Dopo aver completato questo passaggio, l'utente di destinazione perde l'accesso e non è in grado di intraprendere azioni con i ruoli interessati dalla policy.

1. **Rimuove tutte le assegnazioni dei set di autorizzazioni per l'utente.** Se l'accesso viene assegnato tramite l'appartenenza ai gruppi, rimuovi l'utente da tutti i gruppi e da tutte le assegnazioni dirette dei set di autorizzazioni. Questo passaggio impedisce all'utente di assumere ruoli IAM aggiuntivi. Se un utente ha una sessione attiva del portale di AWS accesso e lo disabiliti, può continuare ad assumere nuovi ruoli fino a quando non rimuovi il suo accesso. 

1. **Se utilizzi un provider di identità (IdP) o Microsoft Active Directory come origine di identità, disabilita l'utente nell'origine dell'identità.** La disabilitazione dell'utente impedisce la creazione di sessioni aggiuntive del portale di AWS accesso. Usa la documentazione dell'API IdP o Microsoft Active Directory per scoprire come automatizzare questo passaggio. Se utilizzi la directory IAM Identity Center come fonte di identità, non disabilitare ancora l'accesso degli utenti. Disabiliterai l'accesso degli utenti nel passaggio 6.

1.  **Nella console IAM Identity Center, trova l'utente ed elimina la sua sessione attiva.** 

   1. Scegliere **Users (Utenti)**.

   1. Scegli l'utente di cui desideri eliminare la sessione attiva.

   1. Nella pagina dei dettagli dell'utente, scegli la scheda **Sessioni attive**.

   1. Seleziona le caselle di controllo accanto alle sessioni che desideri eliminare e scegli **Elimina sessione**.

    Dopo aver eliminato una sessione utente, l'utente perderà immediatamente l'accesso al portale di AWS accesso. Scopri la [durata della sessione](authconcept.md). 

1. **Nella console IAM Identity Center, disabilita l'accesso degli utenti.**

   1. Scegliere **Users (Utenti)**.

   1. Scegli l'utente di cui desideri disabilitare l'accesso.

   1. Nella pagina dei dettagli dell'utente, espandi **Informazioni generali** e scegli il pulsante **Disabilita l'accesso utente** per impedire ulteriori accessi dell'utente. 

1. **Lascia in vigore la politica di rifiuto per almeno 12 ore.** In caso contrario, l'utente con una sessione attiva del ruolo IAM avrà ripristinato le azioni con il ruolo IAM. Se attendi 12 ore, le sessioni attive scadono e l'utente non potrà più accedere al ruolo IAM.

**Importante**  
Se disabiliti l'accesso di un utente prima di interrompere la sessione utente (hai completato il passaggio 6 senza completare il passaggio 5), non puoi più interrompere la sessione utente tramite la console IAM Identity Center. Se disabiliti inavvertitamente l'accesso utente prima di interrompere la sessione utente, puoi riabilitare l'utente, interrompere la sua sessione e quindi disabilitare nuovamente il suo accesso.

 [Ora puoi modificare le credenziali dell'utente se la sua password è stata compromessa e ripristinare le sue assegnazioni.](useraccess.md) 

# Delega chi può assegnare l'accesso Single Sign-On a utenti e gruppi nell'account di gestione
<a name="howtodelegatessoaccess"></a>

L'assegnazione dell'accesso Single Sign-on all'account di gestione utilizzando la console IAM Identity Center è un'azione privilegiata. Per impostazione predefinita, solo uno Utente root dell'account AWS o un utente a cui sono associate le policy **AWSSSOMasterAccountAdministrator**e le policy **IAMFullAccess** AWS gestite possono assegnare l'accesso Single Sign-On all'account di gestione. Le **IAMFullAccess**policy **AWSSSOMasterAccountAdministrator**e gestiscono l'accesso Single Sign-On all'account di gestione all'interno di un'organizzazione. AWS Organizations 

In alternativa, è possibile utilizzare AWS CLI per creare, allegare politiche e assegnare set di autorizzazioni. Di seguito sono elencati i comandi per ogni passaggio:
+ Per creare un set di autorizzazioni: [create-permission-set](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/create-permission-set.html)
+ Per allegare AWS Managed Policy a un set di autorizzazioni: [attach-managed-policy-to-permission-set](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/attach-managed-policy-to-permission-set.html)
+ [Per allegare una politica gestita dal cliente a un set di autorizzazioni: - attach-customer-managed-policy to-permission-set](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/attach-customer-managed-policy-reference-to-permission-set.html)
+ Per assegnare un set di autorizzazioni a un principale: [create-account-assignment](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/create-account-assignment.html)

Utilizza i seguenti passaggi per delegare le autorizzazioni per gestire l'accesso Single Sign-On a utenti e gruppi nella tua directory.

**Per concedere le autorizzazioni per gestire l'accesso Single Sign-On a utenti e gruppi presenti nella tua directory**

1. Accedi alla console IAM Identity Center come utente root dell'account di gestione o con un altro utente che dispone delle autorizzazioni di amministratore per l'account di gestione.

1. Segui i passaggi indicati [Creare un set di autorizzazioni](howtocreatepermissionset.md) per creare un set di autorizzazioni, quindi procedi come segue:

   1. Nella pagina **Crea nuovo set di autorizzazioni**, seleziona la casella di controllo **Crea un set di autorizzazioni personalizzato**, quindi scegli **Avanti: dettagli**.

   1. Nella **pagina Crea nuovo set di autorizzazioni**, specifica un nome per il set di autorizzazioni personalizzato e, facoltativamente, una descrizione. Se necessario, modificate la durata della sessione e specificate un URL dello stato di inoltro. 
**Nota**  
Per l'URL dello stato di inoltro, è necessario specificare un URL che si trova in. Console di gestione AWS Esempio:  
 **https://console.aws.amazon.com/ec2/**  
Per ulteriori informazioni, consulta [Imposta lo stato di inoltro per un accesso rapido a Console di gestione AWS](howtopermrelaystate.md).

   1. In **Quali politiche desideri includere nel tuo set di autorizzazioni**? , seleziona la casella **di controllo Allega politiche AWS gestite**.

   1. Nell'elenco delle politiche IAM, scegli sia le **AWSSSOMasterAccountAdministrator**politiche gestite che quelle **IAMFullAccess** AWS gestite. Queste politiche concedono le autorizzazioni a tutti gli utenti e i gruppi a cui verrà assegnato l'accesso a questo set di autorizzazioni in futuro.

   1. Scegli **Successivo: Tag**.

   1. In **Aggiungi tag (opzionale)**, specifica i valori per **Chiave** e **Valore (opzionale)**, quindi scegli **Avanti: revisione**. Per ulteriori informazioni sui tag, consulta [Taggare le risorse AWS IAM Identity Center](tagging.md).

   1. Controlla le selezioni effettuate, quindi scegli **Crea**.

1. Segui i passaggi indicati [Assegna l'accesso a utenti o gruppi a Account AWS](assignusers.md) per assegnare gli utenti e i gruppi appropriati al set di autorizzazioni appena creato.

1. Comunica quanto segue agli utenti assegnati: quando accedono al portale di AWS accesso e scelgono la scheda **Account**, devono scegliere il nome del ruolo appropriato da autenticare con le autorizzazioni che hai appena delegato.

# Gestisci Account AWS con set di autorizzazioni
<a name="permissionsetsconcept"></a>

Un set di autorizzazioni è un modello che crei e gestisci e che definisce una raccolta di una o più [policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html). I set di autorizzazioni semplificano l'assegnazione dell' Account AWS accesso a utenti e gruppi dell'organizzazione. [Ad esempio, è possibile creare un set di autorizzazioni di *amministratore del database* che include le politiche per l'amministrazione dei servizi AWS RDS, DynamoDB e Aurora e utilizzare quel set di autorizzazioni singolo per concedere l'accesso a un elenco di oggetti all'interno dell'organizzazione per gli amministratori del database Account AWS .AWS](https://aws.amazon.com/organizations/)

IAM Identity Center assegna l'accesso a un utente o a un gruppo in uno o più set di autorizzazioni. Account AWS Quando si assegna un set di autorizzazioni, IAM Identity Center crea i ruoli IAM corrispondenti controllati da IAM Identity Center in ciascun account e associa le politiche specificate nel set di autorizzazioni a tali ruoli. IAM Identity Center gestisce il ruolo e consente agli utenti autorizzati che hai definito di assumere il ruolo, utilizzando l'IAM Identity Center User Portal o la AWS CLI.  Man mano che modifichi il set di autorizzazioni, IAM Identity Center garantisce che le politiche e i ruoli IAM corrispondenti vengano aggiornati di conseguenza.

Puoi aggiungere [politiche AWS gestite, politiche](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) [gestite dai clienti, politiche](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) [in linea e politiche AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#inline-policies) [gestite per le funzioni lavorative](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) ai tuoi set di autorizzazioni. Puoi anche assegnare una politica AWS gestita o una politica gestita dal cliente come limite di [autorizzazioni](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html).

Per creare un set di autorizzazioni, vedere. [Creare, gestire ed eliminare set di autorizzazioni](permissionsets.md)

## Creare un set di autorizzazioni che applichi le autorizzazioni con privilegi minimi
<a name="get-started-create-permission-set-to-grant-least-privilege-permissions"></a>

Per seguire la procedura ottimale di applicazione delle autorizzazioni con privilegi minimi, dopo aver creato un set di autorizzazioni amministrative, è necessario creare un set di autorizzazioni più restrittivo e assegnarlo a uno o più utenti. I set di autorizzazioni creati nella procedura precedente forniscono un punto di partenza per valutare la quantità di accesso alle risorse di cui gli utenti hanno bisogno. Per passare alle autorizzazioni con privilegi minimi, puoi eseguire IAM Access Analyzer per monitorare i principali con policy gestite. AWS Dopo aver appreso quali autorizzazioni stanno utilizzando, puoi scrivere una policy personalizzata o generare una policy con solo le autorizzazioni richieste per il team. 

Con IAM Identity Center, puoi assegnare più set di autorizzazioni allo stesso utente. Al tuo utente amministrativo dovrebbero inoltre essere assegnati set di autorizzazioni aggiuntivi e più restrittivi. In questo modo, possono accedere al tuo solo Account AWS con le autorizzazioni richieste, anziché utilizzare sempre le proprie autorizzazioni amministrative.

Ad esempio, se sei uno sviluppatore, dopo aver creato il tuo utente amministrativo in IAM Identity Center, puoi creare un nuovo set di autorizzazioni che concede le autorizzazioni e quindi assegnare quel set di `PowerUserAccess` autorizzazioni a te stesso. A differenza del set di autorizzazioni amministrative, che utilizza `AdministratorAccess` le autorizzazioni, il set di autorizzazioni non consente la gestione di `PowerUserAccess ` utenti e gruppi IAM. Quando accedi al portale di AWS accesso per accedere al tuo AWS account, puoi scegliere `PowerUserAccess` invece di `AdministratorAccess` eseguire attività di sviluppo nell'account.

Tieni a mente le seguenti considerazioni:
+ **Per iniziare rapidamente a creare un set di autorizzazioni più restrittivo, utilizza un set di autorizzazioni predefinito anziché un set di autorizzazioni personalizzato.** 

  Con un set di autorizzazioni predefinito, che utilizza [autorizzazioni predefinite](permissionsetpredefined.md), puoi scegliere una singola politica AWS gestita da un elenco di politiche disponibili. Ogni politica concede un livello specifico di accesso a AWS servizi e risorse o autorizzazioni per una funzione lavorativa comune. Per informazioni su ciascuna di queste politiche, consulta le [politiche AWS gestite per le funzioni lavorative](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html). 
+ **È possibile configurare la durata della sessione per un set di autorizzazioni per controllare la durata dell'accesso di un utente a Account AWS.** 

  Quando gli utenti si federano Account AWS e utilizzano la console di AWS gestione o l'interfaccia a riga di AWS comando (AWS CLI), IAM Identity Center utilizza l'impostazione della durata della sessione nel set di autorizzazioni per controllare la durata della sessione. Per impostazione predefinita, il valore della **durata della sessione**, che determina il periodo di tempo in cui un utente può accedere e Account AWS prima AWS di disconnetterlo dalla sessione, è impostato su un'ora. È possibile specificare un valore massimo di 12 ore. Per ulteriori informazioni, consulta [Imposta la durata della sessione per Account AWS](howtosessionduration.md).
+ **È inoltre possibile configurare la durata della sessione del portale di AWS accesso per controllare il periodo di tempo in cui un utente della forza lavoro è connesso al portale.** 

  Per impostazione predefinita, il valore di **Durata massima della sessione**, che determina il periodo di tempo in cui un utente della forza lavoro può accedere al portale di AWS accesso prima di dover effettuare nuovamente l'autenticazione, è di otto ore. È possibile specificare un valore massimo di 90 giorni. Per ulteriori informazioni, consulta [Configura la durata della sessione in IAM Identity Center](configure-user-session.md).
+ **Quando accedi al portale di AWS accesso, scegli il ruolo che fornisce le autorizzazioni con privilegi minimi.**

  Ogni set di autorizzazioni creato e assegnato all'utente viene visualizzato come ruolo disponibile nel portale di accesso. AWS Quando accedi al portale come utente, scegli il ruolo che corrisponde al set di autorizzazioni più restrittivo che puoi utilizzare per eseguire attività nell'account, anziché. `AdministratorAccess`
+ **Puoi aggiungere altri utenti a IAM Identity Center e assegnare set di autorizzazioni nuovi o esistenti a tali utenti.**

  Per informazioni, consulta,[Assegna l'accesso a utenti o gruppi a Account AWS](assignusers.md).

**Topics**
+ [Creare un set di autorizzazioni che applichi le autorizzazioni con privilegi minimi](#get-started-create-permission-set-to-grant-least-privilege-permissions)
+ [Autorizzazioni predefinite per AWS le politiche gestite](permissionsetpredefined.md)
+ [Autorizzazioni personalizzate per politiche AWS gestite e gestite dai clienti](permissionsetcustom.md)
+ [Creare, gestire ed eliminare set di autorizzazioni](permissionsets.md)
+ [Configura le proprietà del set di autorizzazioni](permproperties.md)

# Autorizzazioni predefinite per AWS le politiche gestite
<a name="permissionsetpredefined"></a>

È possibile creare un set di autorizzazioni predefinito con AWS politiche gestite.

Quando si crea un set di autorizzazioni con autorizzazioni predefinite, si sceglie una politica da un elenco di AWS politiche gestite. All'interno delle politiche disponibili, puoi scegliere tra le **politiche di autorizzazione comuni e le politiche** delle **funzioni Job**.

**Politiche di autorizzazione comuni**  
Scegliete da un elenco di politiche AWS gestite che consentono l'accesso completo alle risorse Account AWS. Puoi aggiungere una delle seguenti politiche:  
+ AdministratorAccess
+ PowerUserAccess
+ ReadOnlyAccess
+ ViewOnlyAccess

**Politiche relative alle funzioni lavorative**  
Scegliete da un elenco di politiche AWS gestite che consentono di accedere alle risorse della vostra azienda Account AWS che potrebbero essere pertinenti per un lavoro all'interno dell'organizzazione. Puoi aggiungere una delle seguenti politiche:  
+ Billing
+ DataScientist
+ DatabaseAdministrator
+ NetworkAdministrator
+ SecurityAudit
+ SupportUser
+ SystemAdministrator

Per descrizioni dettagliate delle politiche di autorizzazione comuni e delle politiche relative alle funzioni lavorative disponibili, consulta [le politiche AWS gestite per le funzioni lavorative](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *guida per l'AWS Identity and Access Management utente*.

Per istruzioni su come creare un set di autorizzazioni, vedere[Creare, gestire ed eliminare set di autorizzazioni](permissionsets.md).

# Autorizzazioni personalizzate per politiche AWS gestite e gestite dai clienti
<a name="permissionsetcustom"></a>

Puoi creare un set di autorizzazioni con **autorizzazioni personalizzate**, combinando tutte le politiche AWS gestite e gestite dai clienti presenti in AWS Identity and Access Management (IAM) con le politiche in linea. Puoi anche includere i limiti delle autorizzazioni, impostando le autorizzazioni massime possibili che altre politiche possono concedere agli utenti del tuo set di autorizzazioni.

Per istruzioni su come creare un set di autorizzazioni, vedere. [Creare, gestire ed eliminare set di autorizzazioni](permissionsets.md)

**Tipi di policy che puoi allegare al tuo set di autorizzazioni**

**Topics**
+ [Policy inline](#permissionsetsinlineconcept)
+ [AWS politiche gestite](#permissionsetsampconcept)
+ [Policy gestite dal cliente](#permissionsetscmpconcept)
+ [Limiti delle autorizzazioni](#permissionsetsboundaryconcept)

## Policy inline
<a name="permissionsetsinlineconcept"></a>

È possibile allegare una *politica in linea* a un set di autorizzazioni. Una policy in linea è un blocco di testo formattato come policy IAM che aggiungi direttamente al tuo set di autorizzazioni. Puoi incollare una policy o generarne una nuova con lo strumento di creazione delle policy nella console IAM Identity Center quando crei un nuovo set di autorizzazioni. Puoi anche creare policy IAM con il [AWS Policy Generator](https://awspolicygen.s3.amazonaws.com/policygen.html).

Quando distribuisci un set di autorizzazioni con una policy in linea, IAM Identity Center crea una policy IAM nel punto in Account AWS cui assegni il tuo set di autorizzazioni. IAM Identity Center crea la policy quando assegni il set di autorizzazioni all'account. La policy viene quindi allegata al ruolo IAM assunto dall'utente. Account AWS 

Quando crei una policy in linea e assegni il tuo set di autorizzazioni, IAM Identity Center configura le policy predefinite per te. Account AWS Quando crei il tuo set di autorizzazioni con[Policy gestite dal cliente](#permissionsetscmpconcept), devi creare le politiche Account AWS da solo prima di assegnare il set di autorizzazioni.

## AWS politiche gestite
<a name="permissionsetsampconcept"></a>

È possibile allegare *politiche AWS gestite* al set di autorizzazioni. AWS le politiche gestite sono politiche IAM che AWS mantiene. Al contrario, le politiche IAM del tuo account [Policy gestite dal cliente](#permissionsetscmpconcept) sono quelle che crei e gestisci. AWS le politiche gestite riguardano i casi d'uso con privilegi minimi comuni nel tuo Account AWS. [Puoi assegnare una policy AWS gestita come autorizzazioni per il ruolo creato da IAM Identity Center o come limite di autorizzazioni.](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)

AWS mantiene [politiche AWS gestite per le funzioni lavorative che assegnano autorizzazioni](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) di accesso specifiche del lavoro alle tue risorse. AWS È possibile aggiungere una politica relativa alla funzione lavorativa quando si sceglie di utilizzare le autorizzazioni **predefinite** con il set di autorizzazioni. Quando scegli **Autorizzazioni personalizzate**, puoi aggiungere più di una politica relativa alla funzione lavorativa.

Il tuo contiene Account AWS anche un gran numero di policy IAM AWS gestite per specifiche Servizi AWS e combinazioni di. Servizi AWS Quando crei un set di autorizzazioni con **autorizzazioni personalizzate**, puoi scegliere tra molte politiche AWS gestite aggiuntive da assegnare al tuo set di autorizzazioni.

AWS compila ogni Account AWS con AWS policy gestite. Per distribuire un set di autorizzazioni con policy AWS gestite, non è necessario prima creare una policy nel proprio. Account AWS Quando si crea il set di autorizzazioni con[Policy gestite dal cliente](#permissionsetscmpconcept), è necessario creare le politiche Account AWS autonomamente prima di assegnare il set di autorizzazioni.

Per ulteriori informazioni sulle policy AWS gestite, consulta le [policy AWS gestite](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella IAM User Guide.

## Policy gestite dal cliente
<a name="permissionsetscmpconcept"></a>

Puoi allegare *le politiche gestite dai clienti* al tuo set di autorizzazioni. Le politiche gestite dai clienti sono le politiche IAM del tuo account che crei e gestisci. Al contrario, [AWS politiche gestite](#permissionsetsampconcept) sono le politiche IAM del tuo account a essere AWS gestite. Puoi assegnare una policy gestita dal cliente come autorizzazioni per il ruolo creato da IAM Identity Center o come limite di [autorizzazioni](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html).

Quando crei un set di autorizzazioni con una policy gestita dal cliente, devi creare una policy IAM con lo stesso nome e percorso in ciascuna delle aree in Account AWS cui IAM Identity Center assegna il tuo set di autorizzazioni. Se stai specificando un percorso personalizzato, assicurati di specificare lo stesso percorso in ciascuno di essi. Account AWS Per ulteriori informazioni, consulta [Nomi descrittivi e percorsi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-friendly-names) nella *Guida per l'utente IAM*. IAM Identity Center associa la policy IAM al ruolo IAM che crea nel tuo. Account AWS Come best practice, applica le stesse autorizzazioni alla policy in ogni account a cui assegni il set di autorizzazioni. Per ulteriori informazioni, consulta [Utilizza le politiche IAM nei set di autorizzazioni](howtocmp.md). 

**Nota**  
Quando una policy gestita dal cliente è allegata a un set di autorizzazioni, il nome della policy non fa distinzione tra maiuscole e minuscole.

Per ulteriori informazioni, consulta le [politiche gestite dai clienti](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) nella Guida per l'utente IAM.

## Limiti delle autorizzazioni
<a name="permissionsetsboundaryconcept"></a>

Puoi allegare un *limite di autorizzazioni al tuo set* di autorizzazioni. Un limite di autorizzazioni è una policy IAM AWS gestita o gestita dal cliente che stabilisce le autorizzazioni massime che una policy basata sull'identità può concedere a un principale IAM. Quando applichi un limite di autorizzazioni, [AWS politiche gestite](#permissionsetsampconcept) non puoi concedere alcuna autorizzazione che superi le [Policy inline](#permissionsetsinlineconcept) autorizzazioni concesse dal limite delle autorizzazioni. [Policy gestite dal cliente](#permissionsetscmpconcept) Un limite di autorizzazioni non concede alcuna autorizzazione, ma fa sì che IAM ignori tutte le autorizzazioni oltre il limite.

Quando crei un set di autorizzazioni con una policy gestita dal cliente come limite di autorizzazioni, devi creare una policy IAM con lo stesso nome in ognuna delle aree in Account AWS cui IAM Identity Center assegna il tuo set di autorizzazioni. IAM Identity Center collega la policy IAM come limite di autorizzazioni al ruolo IAM che crea nel tuo. Account AWS 

Per ulteriori informazioni sui limiti delle autorizzazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella Guida per l'utente di IAM.

# Creare, gestire ed eliminare set di autorizzazioni
<a name="permissionsets"></a>

I set di autorizzazioni definiscono il livello di accesso di utenti e gruppi a un Account AWS. I set di autorizzazioni sono archiviati in IAM Identity Center e possono essere assegnati a uno o più Account AWS. Puoi assegnare più set di autorizzazioni a un utente. Per ulteriori informazioni sui set di autorizzazioni e su come vengono utilizzati in IAM Identity Center, consulta[Gestisci Account AWS con set di autorizzazioni](permissionsetsconcept.md).

**Nota**  
Puoi cercare e ordinare i set di autorizzazioni per nome nella console IAM Identity Center.

Tieni a mente le seguenti considerazioni quando crei i set di autorizzazioni:
+ **Istanza dell'organizzazione**

  Per utilizzare i set di autorizzazioni, devi utilizzare un'istanza Organization di IAM Identity Center. Per ulteriori informazioni, consulta [Istanze di organizzazione e account di IAM Identity Center](identity-center-instances.md).
+ **Inizia con un set di autorizzazioni predefinito** 

  Con un set di autorizzazioni predefinito, che utilizza [autorizzazioni predefinite](permissionsetpredefined.md), si sceglie una singola politica AWS gestita da un elenco di politiche disponibili. Ogni politica concede un livello specifico di accesso a AWS servizi e risorse o autorizzazioni per una funzione lavorativa comune. Per informazioni su ciascuna di queste politiche, consulta le [politiche AWS gestite per le funzioni lavorative](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html). Dopo aver raccolto i dati di utilizzo, puoi perfezionare il set di autorizzazioni per renderlo più restrittivo.
+ **Limita la durata della sessione di gestione a periodi di lavoro ragionevoli** 

  Quando gli utenti si federano Account AWS e utilizzano la Console di gestione AWS o l'interfaccia a riga di AWS comando (AWS CLI), IAM Identity Center utilizza l'impostazione della durata della sessione nel set di autorizzazioni per controllare la durata della sessione. Quando la sessione utente raggiunge la durata della sessione, vengono disconnessi dalla console e viene chiesto di accedere nuovamente. Per una sicurezza ottimale, è consigliabile non impostare la durata delle sessioni più del tempo necessario per eseguire il ruolo. Per impostazione predefinita, il valore per la **durata della sessione** è di un'ora. È possibile specificare un valore massimo di 12 ore. Per ulteriori informazioni, consulta [Imposta la durata della sessione per Account AWS](howtosessionduration.md).
+ **Limita la durata della sessione Workforce User Portal** 

  Gli utenti di Workforce utilizzano le sessioni del portale per scegliere i ruoli e accedere alle applicazioni. Per impostazione predefinita, il valore di **Durata massima della sessione**, che determina il periodo di tempo in cui un utente della forza lavoro può accedere al portale di AWS accesso prima di dover effettuare nuovamente l'autenticazione, è otto ore. È possibile specificare un valore massimo di 90 giorni. Per ulteriori informazioni, consulta [Configura la durata della sessione in IAM Identity Center](configure-user-session.md).
+ **Utilizza il ruolo che fornisce le autorizzazioni con privilegi minimi**

  Ogni set di autorizzazioni creato e assegnato all'utente viene visualizzato come ruolo disponibile nel portale di accesso. AWS Quando accedi al portale come utente, scegli il ruolo che corrisponde al set di autorizzazioni più restrittivo che puoi utilizzare per eseguire attività nell'account, anziché. `AdministratorAccess` Verifica i set di autorizzazioni per verificare che forniscano l'accesso necessario prima di inviare l'invito all'utente.

**Nota**  
È inoltre possibile utilizzare [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_SSO.html)per creare e assegnare set di autorizzazioni e assegnare utenti a tali set di autorizzazioni.

**Topics**
+ [Creare un set di autorizzazioni](howtocreatepermissionset.md)
+ [Visualizzare e modificare un set di autorizzazioni](howtoviewandchangepermissionset.md)
+ [Delega l'amministrazione dei set di autorizzazioni](permissionsetdelegation.md)
+ [Utilizza le politiche IAM nei set di autorizzazioni](howtocmp.md)
+ [Rimuovi i set di autorizzazioni in IAM Identity Center](howtoremovepermissionset.md)
+ [Elimina i set di autorizzazioni in IAM Identity Center](howtodeletepermissionset.md)

# Creare un set di autorizzazioni
<a name="howtocreatepermissionset"></a>

Utilizza questa procedura per creare un set di autorizzazioni predefinito che utilizza una singola policy AWS gestita o un set di autorizzazioni personalizzato che utilizza fino a 10 policy AWS gestite o gestite dal cliente e una policy in linea. Puoi richiedere un adeguamento al numero massimo di 10 policy nella [console Service Quotas](https://console.aws.amazon.com/servicequotas) per IAM. Puoi creare un set di autorizzazioni nella console IAM Identity Center.

**Nota**  
Per utilizzare i set di autorizzazioni, dovrai utilizzare un'istanza Organization di IAM Identity Center. Per ulteriori informazioni, consulta [Istanze di organizzazione e account di IAM Identity Center](identity-center-instances.md).

**Per creare un set di autorizzazioni**

1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).

1. **In Autorizzazioni **multiaccount, scegli Set di autorizzazioni**.**

1. Scegli **Create permission set (Crea set di autorizzazioni)**.

1. Nella pagina **Seleziona il tipo di set di autorizzazioni, in Tipo** di **set di autorizzazioni, seleziona un tipo di** set di autorizzazioni.

1. Scegli una o più politiche che desideri utilizzare per il set di autorizzazioni, in base al tipo di set di autorizzazioni:
   + **Set di autorizzazioni predefinito**

     1. In **Policy for predefined permission set**, seleziona una delle policy della **funzione IAM Job** o delle **policy di autorizzazione comuni** nell'elenco, quindi scegli **Avanti**. Per ulteriori informazioni, consulta [le politiche AWS gestite per le funzioni lavorative e le](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) [politiche AWS gestite](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'AWS Identity and Access Management utente*.

     1. Vai al Passaggio 6 per completare la pagina **Specificare i dettagli del set di autorizzazioni**.
   + **Set di autorizzazioni personalizzato**

     1. Scegli **Next (Successivo)**.

     1. Nella pagina **Specificare le politiche e i limiti di autorizzazione**, scegli i tipi di policy IAM che desideri applicare al tuo nuovo set di autorizzazioni. Per impostazione predefinita, puoi aggiungere qualsiasi combinazione di un massimo di 10 policy gestite e **policy AWS gestite** **dal cliente al tuo set di** autorizzazioni. Questa quota è impostata da IAM. Per aumentarlo, richiedi un aumento della quota IAM *Managed policy allegate a un ruolo IAM* nella console Service Quotas in ciascuna delle aree in Account AWS cui desideri assegnare il set di autorizzazioni.
        + **Espandi le policy AWS gestite** per aggiungere policy di IAM che AWS crea e gestisce. Per ulteriori informazioni, consulta [AWS politiche gestite](permissionsetcustom.md#permissionsetsampconcept).

          1. Cerca e scegli **le politiche AWS gestite** che desideri applicare ai tuoi utenti nel set di autorizzazioni.

          1. Se desideri aggiungere un altro tipo di politica, scegli il relativo contenitore ed effettua la selezione. Scegli **Avanti dopo** aver scelto tutte le politiche che desideri applicare. Vai al passaggio 6 per completare la pagina **Specificare i dettagli del set di autorizzazioni**.
        + **Espandi le policy gestite dai clienti** per aggiungere le policy di IAM che crei e gestisci tu. Per ulteriori informazioni, consulta [Policy gestite dal cliente](permissionsetcustom.md#permissionsetscmpconcept).

          1. Scegli **Allega policy** e inserisci il nome di una policy che desideri aggiungere al tuo set di autorizzazioni. In ogni account a cui desideri assegnare il set di autorizzazioni, crea una politica con il nome che hai inserito. Come procedura consigliata, assegna le stesse autorizzazioni alla politica di ciascun account.

          1. Scegli **Allega altro** per aggiungere un'altra politica.

          1. Se desideri aggiungere un altro tipo di politica, scegli il relativo contenitore ed effettua la selezione. Scegli **Avanti dopo** aver scelto tutte le politiche che desideri applicare. Vai al passaggio 6 per completare la pagina **Specificare i dettagli del set di autorizzazioni**.
        + Espandi **Inline policy per aggiungere un testo di policy** personalizzato in formato JSON. Le policy in linea non corrispondono alle risorse IAM esistenti. Per creare una politica in linea, inserisci il linguaggio delle policy personalizzato nel modulo fornito. IAM Identity Center aggiunge la policy alle risorse IAM che crea negli account dei membri. Per ulteriori informazioni, consulta [Policy inline](permissionsetcustom.md#permissionsetsinlineconcept).

          1. Aggiungi le azioni e le risorse desiderate all'interno dell'editor interattivo alla tua policy in linea. È possibile aggiungere dichiarazioni aggiuntive con **Aggiungi nuova dichiarazione**.

          1. Se desideri aggiungere un altro tipo di politica, scegli il relativo contenitore ed effettua la selezione. Scegli **Avanti dopo** aver scelto tutte le politiche che desideri applicare. Vai al passaggio 6 per completare la pagina **Specificare i dettagli del set di autorizzazioni**.
        + Espandi il **limite delle autorizzazioni** per aggiungere una policy IAM AWS gestita o gestita dal cliente come autorizzazioni massime che le altre policy del set di autorizzazioni possono assegnare. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni](permissionsetcustom.md#permissionsetsboundaryconcept).

          1. Scegli **Usa un limite di autorizzazioni per controllare le autorizzazioni massime.**

          1. Scegli una **policy AWS gestita** per impostare una policy di IAM che venga creata e *AWS*gestita come limite per le autorizzazioni. Scegli **le politiche gestite dai clienti** per impostare una policy di IAM da *creare* e mantenere come limite delle autorizzazioni.

          1. Se desideri aggiungere un altro tipo di politica, scegli il relativo contenitore ed effettua la selezione. Scegli **Avanti dopo** aver scelto tutte le politiche che desideri applicare. Vai al passaggio 6 per completare la pagina **Specificare i dettagli del set di autorizzazioni**.

1. Nella pagina **Specificare i dettagli del set di autorizzazioni**, effettuare le seguenti operazioni:

   1. In **Nome del set di autorizzazioni**, digita un nome per identificare questo set di autorizzazioni in IAM Identity Center. Il nome specificato per questo set di autorizzazioni viene visualizzato nel portale di AWS accesso come ruolo disponibile. Gli utenti AWS accedono al portale di accesso, ne scelgono uno Account AWS e quindi scelgono il ruolo.
**Nota**  
I nomi dei set di autorizzazioni devono essere univoci all'interno dell'istanza di IAM Identity Center.

   1. (Facoltativo) Puoi anche digitare una descrizione. La descrizione appare solo nella console IAM Identity Center, non nel portale di AWS accesso.

   1. (Facoltativo) Specificare il valore per la **durata della sessione**. Questo valore determina il periodo di tempo in cui un utente può accedere prima che la console lo disconnetta dalla sessione. Per ulteriori informazioni, consulta [Imposta la durata della sessione per Account AWS](howtosessionduration.md).

   1. (Facoltativo) Specificate il valore per lo stato di **inoltro**. Questo valore viene utilizzato nel processo di federazione per reindirizzare gli utenti all'interno dell'account. Per ulteriori informazioni, consulta [Imposta lo stato di inoltro per un accesso rapido a Console di gestione AWS](howtopermrelaystate.md).
**Nota**  
L'URL dello stato di inoltro deve trovarsi all'interno di. Console di gestione AWS Esempio:  
**https://console.aws.amazon.com/ec2/**

   1. Espandi **Tag (opzionale)**, scegli **Aggiungi tag**, quindi specifica i valori per **Chiave** e **Valore (opzionale)**. 

      Per ulteriori informazioni sui tag, consulta [Taggare le risorse AWS IAM Identity Center](tagging.md).

   1. Scegli **Next (Successivo)**.

1. Nella pagina **Rivedi e crea**, esamina le selezioni effettuate, quindi scegli **Crea**.

1. Per impostazione predefinita, quando crei un set di autorizzazioni, il set di autorizzazioni non viene fornito (utilizzato in nessuno Account AWS). Per fornire un set di autorizzazioni in un account Account AWS, devi assegnare l'accesso a IAM Identity Center agli utenti e ai gruppi dell'account e quindi applicare il set di autorizzazioni a tali utenti e gruppi. Per ulteriori informazioni, consulta [Assegna l'accesso a utenti o gruppi a Account AWS](assignusers.md).

# Visualizzare e modificare un set di autorizzazioni
<a name="howtoviewandchangepermissionset"></a>

Puoi utilizzare i set di autorizzazioni per concedere agli utenti l'accesso a Account AWS. È possibile visualizzare e modificare un set di autorizzazioni con la AWS IAM Identity Center console. Puoi cercare e ordinare i set di autorizzazioni per nome nella console IAM Identity Center. Per ulteriori informazioni sui set di autorizzazioni e su come vengono utilizzati in IAM Identity Center, consulta[Gestisci Account AWS con set di autorizzazioni](permissionsetsconcept.md).

I set di autorizzazioni non sono necessari per gestire l'accesso degli utenti alle applicazioni.

**Nota**  
Per utilizzare i set di autorizzazioni, è necessario utilizzare un'istanza Organization di IAM Identity Center. Per ulteriori informazioni, consulta [Istanze di organizzazione e account di IAM Identity Center](identity-center-instances.md).

## Visualizza le assegnazioni dei set di autorizzazioni
<a name="howtoviewpermissionset"></a>

Utilizza questa procedura per visualizzare il set di autorizzazioni applicato nella AWS IAM Identity Center console.

------
#### [ All Account AWS where a permission set is provisioned ]

Per visualizzare tutte le assegnazioni per un set di autorizzazioni, utilizzare la procedura seguente:

1. Accedere a Console di gestione AWS e aprire la AWS IAM Identity Center console all'indirizzo [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).

1. **In Autorizzazioni per **più account, scegli Set di autorizzazioni**.**

1. Nella pagina **Set di autorizzazioni**, seleziona il set di autorizzazioni che desideri visualizzare.

1. Una volta nella pagina dei set di autorizzazioni selezionati, nella scheda **Account**, puoi vedere gli account in cui viene utilizzato il set di autorizzazioni. Puoi selezionare l'account per vedere come viene fornito il set di autorizzazioni all'interno dell'account. È possibile [eliminare](howtoremovepermissionset.md), modificare e allegare politiche al set di autorizzazioni.

------
#### [ All permission sets for an Account AWS ]

Per visualizzare tutte le assegnazioni per un set di autorizzazioni, utilizzare la procedura seguente:

1. Accedere a Console di gestione AWS e aprire la AWS IAM Identity Center console all'indirizzo [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).

1. In **Autorizzazioni per più account, scegli**. **Account AWS** Seleziona l'account per il quale desideri visualizzare i set di autorizzazioni predisposti.

1. Una volta nella Account AWS pagina selezionata, nella scheda **Set di autorizzazioni**, è possibile visualizzare il diverso set di autorizzazioni assegnato al selezionato Account AWS. È possibile selezionare il collegamento ipertestuale del set di autorizzazioni per ulteriori informazioni sul set di autorizzazioni. 

------
#### [ All applied permission sets to users and groups ]

Per visualizzare tutti i set di autorizzazioni assegnati a utenti o gruppi, utilizzare la procedura seguente: 

1. Accedere Console di gestione AWS e aprire la AWS IAM Identity Center console all'indirizzo [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).

1. Seleziona Utenti o Gruppi in **Dashboard** per visualizzare gli utenti o i gruppi di IAM Identity Center.

   1. Una volta nella pagina **Utenti**, seleziona l'utente per il quale desideri visualizzare i set di autorizzazioni applicati. Quindi, seleziona la **Account AWS**scheda e la Account AWS sezione di **accesso all'AWS account**. Sarai in grado di visualizzare i set di autorizzazioni applicati e Account AWS quelli relativi all'utente selezionato. 

   1. Una volta nella pagina **Gruppi**, seleziona il gruppo a cui desideri visualizzare i set di autorizzazioni applicati. Quindi, seleziona la **Account AWS**scheda e la sezione Account AWS sotto la sezione di **Account AWS accesso**. Sarai in grado di visualizzare i set di autorizzazioni applicati e Account AWS per il gruppo selezionato. 

------

## Modificare un set di autorizzazioni
<a name="howtochangepermissionset"></a>

Utilizza questa procedura per modificare un [set di autorizzazioni](permissionsetsconcept.md) con la console IAM Identity Center. Puoi aggiungere o rimuovere set di autorizzazioni da utenti o gruppi.

1. Accedi Console di gestione AWS e apri la AWS IAM Identity Center console all'indirizzo [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).

1. In **Autorizzazioni per più account, scegli**. ** Account AWS**

1. Nella **Account AWS**pagina viene visualizzato un elenco ad albero della tua organizzazione. Seleziona il nome della persona Account AWS da cui desideri modificare il set di autorizzazioni.

1. Nella pagina **Panoramica** di Account AWS, in **Utenti e gruppi assegnati**, seleziona il nome utente o il nome del gruppo del set di autorizzazioni che desideri modificare. Quindi scegli **Modifica set di autorizzazioni**.

1. Apporta le modifiche desiderate al set di autorizzazioni, quindi scegli **Salva modifiche**.

1. Vai alla scheda **Set di autorizzazioni** e seleziona il set di autorizzazioni modificato di recente e scegli **Aggiorna**.

1. Nella pagina **Aggiorna le autorizzazioni**, scegli **Aggiorna**.

# Delega l'amministrazione dei set di autorizzazioni
<a name="permissionsetdelegation"></a>

IAM Identity Center ti consente di delegare la gestione dei set di autorizzazioni e delle assegnazioni negli account creando [policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) che fanno riferimento ad [Amazon Resource Names (ARNs) delle risorse](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) IAM Identity Center. Ad esempio, puoi creare policy che consentano a diversi amministratori di gestire le assegnazioni in account specifici per set di autorizzazioni con tag specifici.

**Nota**  
Per utilizzare i set di autorizzazioni, è necessario utilizzare un'istanza Organization di IAM Identity Center. Per ulteriori informazioni, consulta [Istanze di organizzazione e account di IAM Identity Center](identity-center-instances.md).

Puoi utilizzare uno dei seguenti metodi per creare questi tipi di policy.
+ (Consigliato) Crea [set di autorizzazioni](permissionsets.md) in IAM Identity Center, ciascuno con una policy diversa, e assegna i set di autorizzazioni a diversi utenti o gruppi. Ciò consente di gestire le autorizzazioni amministrative per gli utenti che accedono utilizzando la fonte di [identità IAM Identity Center](manage-your-identity-source.md) scelta. 
+ Crea policy personalizzate in IAM, quindi collegale ai ruoli IAM assunti dai tuoi amministratori. Per informazioni sui ruoli, consulta Ruoli [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) per ottenere le autorizzazioni amministrative assegnate a IAM Identity Center.

**Importante**  
 ARNs Le risorse IAM Identity Center distinguono tra maiuscole e minuscole. 

Di seguito vengono illustrati i casi appropriati per fare riferimento al set di autorizzazioni e ai tipi di risorse dell'account IAM Identity Center.


| Tipi di risorsa | ARN | Chiavi contestuali | 
| --- | --- | --- | 
| PermissionSet | arn:\$1\$1Partition\$1:sso:::permissionSet/\$1\$1InstanceId\$1/\$1\$1PermissionSetId\$1 | aws:ResourceTag/\$1\$1TagKey\$1 | 
| Account | arn:\$1\$1Partition\$1:sso:::account/\$1\$1AccountId\$1 | Non applicabile | 

# Utilizza le politiche IAM nei set di autorizzazioni
<a name="howtocmp"></a>

In[Creare un set di autorizzazioni](howtocreatepermissionset.md), hai imparato come aggiungere politiche, comprese le politiche gestite dai clienti e i limiti delle autorizzazioni, a un set di autorizzazioni. Quando aggiungi politiche e autorizzazioni gestite dai clienti a un set di autorizzazioni, IAM Identity Center non crea alcuna policy. Account AWSÈ invece necessario creare tali politiche in anticipo in ogni account a cui si desidera assegnare il set di autorizzazioni e abbinarle alle specifiche del nome e del percorso del set di autorizzazioni. Quando assegni un set di autorizzazioni Account AWS a un membro della tua organizzazione, IAM Identity Center crea un [ruolo AWS Identity and Access Management (IAM) e associa](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) le tue [politiche IAM a quel](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) ruolo. 

**Considerazioni**
+ Per utilizzare i set di autorizzazioni, dovrai utilizzare un'istanza Organization di IAM Identity Center. Per ulteriori informazioni, consulta [Istanze di organizzazione e account di IAM Identity Center](identity-center-instances.md).
+ Prima di assegnare il set di autorizzazioni con le politiche IAM, devi preparare il tuo account membro. Il nome di una policy IAM nel tuo account membro deve corrispondere al nome della policy nel tuo account di gestione. IAM Identity Center non riesce ad assegnare il set di autorizzazioni se la policy non esiste nel tuo account membro.
**Nota**  
Quando una policy gestita dal cliente è allegata a un set di autorizzazioni, il nome della policy non fa distinzione tra maiuscole e minuscole.
+ Le autorizzazioni concesse dalla politica non devono necessariamente corrispondere esattamente tra gli account.

# Assegna una policy IAM a un set di autorizzazioni


1. Crea una policy IAM in ciascuna delle aree in Account AWS cui desideri assegnare il set di autorizzazioni.

1. Assegna le autorizzazioni alla policy IAM. Puoi assegnare autorizzazioni diverse a diversi account. Per un'esperienza coerente, configura e gestisci le stesse autorizzazioni in ogni policy. Puoi utilizzare risorse di automazione, AWS CloudFormation StackSets ad esempio per creare copie di una policy IAM con lo stesso nome e le stesse autorizzazioni in ogni account membro. Per ulteriori informazioni in merito CloudFormation StackSets, consulta [Working with AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) nella *guida per l'AWS CloudFormation utente*.

1. Crea un set di autorizzazioni nel tuo account di gestione e aggiungi la tua policy IAM nella sezione **Customer managed policies** o **Permissions boundary**. Per maggiori dettagli su come creare un set di autorizzazioni, consulta. [Creare un set di autorizzazioni](howtocreatepermissionset.md)

1. Aggiungi eventuali policy in linea, policy AWS gestite o policy IAM aggiuntive che hai preparato. 

1. Crea e assegna il tuo set di autorizzazioni.

# Rimuovi i set di autorizzazioni in IAM Identity Center
<a name="howtoremovepermissionset"></a>

Puoi rimuovere un set di autorizzazioni dagli utenti e dai gruppi di IAM Identity Center nella console IAM Identity Center. Puoi anche rimuovere un set di autorizzazioni da un Account AWS. Per ulteriori informazioni sui set di autorizzazioni e su come vengono utilizzati in IAM Identity Center, consulta[Gestisci Account AWS con set di autorizzazioni](permissionsetsconcept.md).

**Nota**  
Per utilizzare i set di autorizzazioni, dovrai utilizzare un'istanza Organization di IAM Identity Center. Per ulteriori informazioni, consulta [Istanze di organizzazione e account di IAM Identity Center](identity-center-instances.md).

------
#### [ Remove permission set from a user ]

**Rimuovi il set di autorizzazioni da un utente**

Utilizza questa procedura per rimuovere un set di autorizzazioni da un utente con la console IAM Identity Center.

1. Accedi Console di gestione AWS e apri la AWS IAM Identity Center console all'indirizzo [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).

1. In **IAM Identity Center**, seleziona **Utenti**.

1. Seleziona il nome utente dell'utente da cui desideri rimuovere un set di autorizzazioni.

1. Nella pagina dei dettagli dell'utente, seleziona la **Account AWS**scheda. In **Account AWS accesso**, seleziona il tuo Account AWS.

1. Nel riquadro di destra, vengono visualizzate le autorizzazioni applicate per l'utente selezionato. Seleziona il set di autorizzazioni che desideri rimuovere. In **Dettagli di accesso all'account**, seleziona **Rimuovi**.

1. Viene visualizzata una finestra di dialogo che ti chiede se desideri rimuovere questo set di autorizzazioni. Selezionare **Rimuovi**.  
![\[Account AWS scheda per un utente IAM Identity Center nella console IAM Identity Center.\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/remove-permission-set-tutorial.png)

------
#### [ Remove permission set from a group ]

**Rimuovi il set di autorizzazioni da un gruppo**

Utilizza questa procedura per rimuovere un set di autorizzazioni da un gruppo con la console IAM Identity Center.

1. Accedi Console di gestione AWS e apri la AWS IAM Identity Center console all'indirizzo [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).

1. In **Autorizzazioni per più account, seleziona**. **Account AWS** Seleziona il link al tuo account di gestione.  
![\[Account AWS scheda nella console IAM Identity Center.\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/sso-aws-accounts-tab.png)

1. Nella scheda **Utenti e gruppi assegnati**, seleziona il gruppo da cui desideri rimuovere il set di autorizzazioni, quindi seleziona **Modifica set di autorizzazioni**.

1. Nella pagina **Modifica set di autorizzazioni**, deseleziona il set di autorizzazioni che desideri rimuovere, quindi seleziona **Salva modifiche**.

------
#### [ Remove permission set from an Account AWS ]

Utilizza questa procedura per rimuovere un set di autorizzazioni dalla Account AWS console IAM Identity Center.

1. Accedi Console di gestione AWS e apri la AWS IAM Identity Center console all'indirizzo [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).

1. In **Autorizzazioni per più account, seleziona**. **Account AWS** Seleziona il nome del file Account AWS da cui desideri rimuovere il set di autorizzazioni.

1. Nella pagina **Panoramica** di Account AWS, scegli la scheda **Set di autorizzazioni**. Seleziona il set di autorizzazioni che desideri rimuovere. Quindi seleziona **Rimuovi**.

1. Nella finestra di dialogo **Rimuovi set di autorizzazioni**, conferma che sia selezionato il set di autorizzazioni corretto, digita **Delete** per confermare la rimozione, quindi scegli **Rimuovi accesso**.

------

# Elimina i set di autorizzazioni in IAM Identity Center
<a name="howtodeletepermissionset"></a>

Prima di poter eliminare un set di autorizzazioni da IAM Identity Center, è necessario [rimuoverlo](howtoremovepermissionset.md) da tutti coloro Account AWS che utilizzano il set di autorizzazioni. Per verificare l'accesso esistente di utenti e gruppi, consulta[Visualizzare e modificare un set di autorizzazioni](howtoviewandchangepermissionset.md).

**Considerazioni**
+ Per utilizzare i set di autorizzazioni, dovrai utilizzare un'istanza Organization di IAM Identity Center. Per ulteriori informazioni, consulta [Istanze di organizzazione e account di IAM Identity Center](identity-center-instances.md).
+ Se desideri revocare una sessione attiva del set di autorizzazioni, consulta. [Visualizza e termina le sessioni attive per gli utenti della tua forza lavoro](end-active-sessions.md)
+ È necessario rimuovere i set di autorizzazioni e le assegnazioni delle applicazioni dagli utenti o dai gruppi che si desidera eliminare prima di eliminarli. Altrimenti, avrai set di autorizzazioni e applicazioni non assegnati e non utilizzati in IAM Identity Center.

Utilizza la seguente procedura per eliminare uno o più set di autorizzazioni in modo che non possano più essere utilizzati da nessuno Account AWS nell'organizzazione.

**Importante**  
Tutti gli utenti e i gruppi a cui Account AWS è stato assegnato questo set di autorizzazioni, indipendentemente da chi lo utilizza, non potranno più accedere. Per verificare l'accesso esistente di utenti e gruppi, vedere[Visualizzare e modificare un set di autorizzazioni](howtoviewandchangepermissionset.md).

**Per eliminare un set di autorizzazioni da un Account AWS**

1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).

1. **In Autorizzazioni per **più account, scegli Set di autorizzazioni**.**

1. **Seleziona il set di autorizzazioni che desideri eliminare, quindi scegli Elimina.**

1. Nella finestra di dialogo **Elimina set di autorizzazioni**, digitate il nome del set di autorizzazioni per confermare l'eliminazione, quindi scegliete **Elimina**. Per il nome è prevista una distinzione tra maiuscole e minuscole.

# Configura le proprietà del set di autorizzazioni
<a name="permproperties"></a>

In IAM Identity Center, gli amministratori possono completare le seguenti attività di configurazione e gestione per controllare l'accesso degli utenti e la durata della sessione.


| Operazione | Ulteriori informazioni | 
| --- | --- | 
|  Gli amministratori possono impostare la durata massima delle sessioni utente quando accedono alle AWS risorse tramite IAM Identity Center. | [Imposta la durata della sessione per Account AWS](howtosessionduration.md) | 
| Gli amministratori possono personalizzare la pagina di destinazione visualizzata dagli utenti dopo l'autenticazione corretta tramite IAM Identity Center. | [Imposta lo stato di inoltro per un accesso rapido a Console di gestione AWS](howtopermrelaystate.md) | 
| Assicurati che gli utenti non abbiano più accesso alle AWS risorse quando le loro autorizzazioni vengono revocate. | [Utilizza una politica Deny per revocare le autorizzazioni utente attive](prereqs-revoking-user-permissions.md) | 

# Imposta la durata della sessione per Account AWS
<a name="howtosessionduration"></a>

Per ogni [set di autorizzazioni](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html), è possibile specificare una durata della sessione per controllare il periodo di tempo in cui un utente può accedere a un Account AWS. Al termine della durata specificata, AWS disconnette l'utente dalla sessione. 

Quando si crea un nuovo set di autorizzazioni, la durata della sessione è impostata su 1 ora (in secondi) per impostazione predefinita. La durata minima della sessione è di 1 ora e può essere impostata su un massimo di 12 ore. IAM Identity Center crea automaticamente i ruoli IAM in ogni account assegnato per ogni set di autorizzazioni e configura questi ruoli con una durata massima della sessione di 12 ore.

Quando gli utenti si federano nella propria Account AWS console o quando viene utilizzato AWS Command Line Interface (AWS CLI), IAM Identity Center utilizza l'impostazione della durata della sessione sul set di autorizzazioni per controllare la durata della sessione. Per impostazione predefinita, i ruoli IAM generati da IAM Identity Center per i set di autorizzazioni possono essere assunti solo dagli utenti di IAM Identity Center, il che garantisce l'applicazione della durata della sessione specificata nel set di autorizzazioni IAM Identity Center.

**Importante**  
Per una sicurezza ottimale, è consigliabile non impostare la durata delle sessioni più del tempo necessario per eseguire il ruolo.

Dopo aver creato un set di autorizzazioni, puoi aggiornarlo per applicare una nuova durata della sessione. Utilizzare la procedura seguente per modificare la durata della sessione per un set di autorizzazioni.

**Impostazione della durata della sessione**

1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).

1. **In Autorizzazioni per **più account, scegli Set di autorizzazioni**.**

1. Scegli il nome del set di autorizzazioni per il quale desideri modificare la durata della sessione.

1. Nella pagina dei dettagli del set di autorizzazioni, a destra dell'intestazione della sezione **Impostazioni generali**, scegli **Modifica**.

1. Nella pagina **Modifica impostazioni generali del set di autorizzazioni**, scegli un nuovo valore per la **durata della sessione**.

1. Se il set di autorizzazioni è fornito in uno qualsiasi dei due Account AWS, i nomi degli account vengono visualizzati in cui **Account AWS riassegnare** automaticamente il set di autorizzazioni. Dopo l'aggiornamento del valore della durata della sessione per il set di autorizzazioni, tutti coloro Account AWS che utilizzano il set di autorizzazioni vengono riassegnati. Ciò significa che il nuovo valore di questa impostazione viene applicato a tutti coloro Account AWS che utilizzano il set di autorizzazioni.

1. Scegli **Save changes** (Salva modifiche).

1. Nella parte superiore della **Account AWS**pagina, viene visualizzata una notifica.
   + Se il set di autorizzazioni viene fornito in uno o più account Account AWS, la notifica conferma che il riassegnamento è Account AWS stato eseguito correttamente e che il set di autorizzazioni aggiornato è stato applicato agli account.
   + Se il set di autorizzazioni non è fornito in un Account AWS, la notifica conferma che le impostazioni del set di autorizzazioni sono state aggiornate.

# Imposta lo stato di inoltro per un accesso rapido a Console di gestione AWS
<a name="howtopermrelaystate"></a>

Per impostazione predefinita, quando un utente AWS accede al portale di accesso, sceglie un account e quindi sceglie il ruolo AWS creato dal set di autorizzazioni assegnato, IAM Identity Center reindirizza il browser dell'utente a. Console di gestione AWSÈ possibile modificare questo comportamento impostando lo stato di inoltro su un URL della console diverso. 

L'impostazione dello stato di inoltro consente di fornire all'utente un accesso rapido alla console più appropriata per il suo ruolo. Ad esempio, puoi impostare lo stato di inoltro sull'URL della console Amazon EC2 **https://console.aws.amazon.com/ec2/** () per reindirizzare l'utente a quella console quando sceglie il ruolo di amministratore di Amazon EC2. Durante il reindirizzamento all'URL predefinito o all'URL dello stato di inoltro, IAM Identity Center indirizza il browser dell'utente all'endpoint della console utilizzato per ultimo dall'utente. Regione AWS Ad esempio, se un utente ha terminato l'ultima sessione di console nella regione Europa (Stoccolma) (eu-north-1), l'utente viene reindirizzato alla console Amazon EC2 in quella regione.

![\[Diagramma del flusso di lavoro per l'impostazione dello stato del relè in. Console di gestione AWS\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/permission_sets_relay_state_newest.png)


Per configurare IAM Identity Center in modo da reindirizzare l'utente a una console in un determinato modo Regione AWS, includi la specifica della regione come parte dell'URL. Ad esempio, per reindirizzare l'utente alla console Amazon EC2 nella regione Stati Uniti orientali (Ohio) (us-east-2), specifica l'URL per la console Amazon EC2 in quella regione (). **https://us-east-2.console.aws.amazon.com/ec2/** Se hai abilitato IAM Identity Center nella regione Stati Uniti occidentali (Oregon) (us-west-2) e desideri indirizzare l'utente verso quella regione, specifica. **https://us-west-2.console.aws.amazon.com** 

## Configura lo stato del relè
<a name="configure-relay-state"></a>

Utilizzare la procedura seguente per configurare l'URL dello stato di inoltro per un set di autorizzazioni.

1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).

1. **In Autorizzazioni per **più account, scegli Set di autorizzazioni**.**

1. Scegli il nome del set di autorizzazioni per il quale desideri impostare il nuovo URL dello stato di inoltro.

1. Nella pagina dei dettagli del set di autorizzazioni, a destra dell'intestazione della sezione **Impostazioni generali**, scegli **Modifica**.

1. Nella pagina **Modifica impostazioni generali del set di autorizzazioni**, in **Stato di inoltro**, digita l'URL della console per uno qualsiasi dei AWS servizi. Esempio:

    **https://console.aws.amazon.com/ec2/**
**Nota**  
L'URL dello stato di inoltro deve trovarsi all'interno di. Console di gestione AWS

1. Se il set di autorizzazioni è fornito in uno qualsiasi Account AWS, i nomi degli account vengono visualizzati in cui **Account AWS riassegnare** automaticamente il provisioning. Dopo l'aggiornamento dell'URL dello stato di inoltro per il set di autorizzazioni, viene riassegnato il provisioning a tutti Account AWS coloro che utilizzano il set di autorizzazioni. Ciò significa che il nuovo valore per questa impostazione viene applicato a tutti coloro Account AWS che utilizzano il set di autorizzazioni.

1. Scegli **Save changes** (Salva modifiche).

1. Nella parte superiore della pagina **AWS Organizzazione**, viene visualizzata una notifica.
   + Se il set di autorizzazioni viene fornito in uno o più Account AWS, la notifica conferma che il riassegnamento è Account AWS stato eseguito correttamente e che il set di autorizzazioni aggiornato è stato applicato agli account.
   + Se il set di autorizzazioni non è fornito in un Account AWS, la notifica conferma che le impostazioni del set di autorizzazioni sono state aggiornate.

**Nota**  
Puoi automatizzare questo processo utilizzando l' AWS API, un AWS SDK o (). AWS Command Line InterfaceAWS CLI Per ulteriori informazioni, consulta:   
Le `UpdatePermissionSet` azioni `CreatePermissionSet` o nella guida di riferimento all'API di [IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html) 
I `update-permission-set` comandi `create-permission-set` or nella [https://docs.aws.amazon.com/cli/latest/reference/sso-admin/index.html#cli-aws-sso-admin](https://docs.aws.amazon.com/cli/latest/reference/sso-admin/index.html#cli-aws-sso-admin)sezione del *AWS CLI Command Reference*.

# Utilizza una politica Deny per revocare le autorizzazioni utente attive
<a name="prereqs-revoking-user-permissions"></a>

Potrebbe essere necessario revocare l'accesso a un utente di IAM Identity Center Account AWS mentre l'utente utilizza attivamente un set di autorizzazioni. Puoi impedire loro di utilizzare le sessioni di ruolo IAM attive implementando in anticipo una policy Deny per un utente non specificato e, se necessario, puoi aggiornare la policy Deny per specificare l'utente di cui desideri bloccare l'accesso. Questo argomento spiega come creare una policy Deny e alcune considerazioni su come implementarla. 

## Preparati a revocare una sessione di ruolo IAM attiva creata da un set di autorizzazioni
<a name="prepare-to-revoke-session"></a>

Puoi impedire all'utente di intraprendere azioni con un ruolo IAM che sta utilizzando attivamente applicando una politica di negazione totale per un utente specifico utilizzando una policy di controllo del servizio. Puoi anche impedire a un utente di utilizzare qualsiasi set di autorizzazioni finché non modifichi la sua password, in modo da rimuovere un malintenzionato che utilizza attivamente in modo improprio le credenziali rubate. Se è necessario negare l'accesso in generale e impedire a un utente di accedere nuovamente a un set di autorizzazioni o ad altri set di autorizzazioni, è inoltre possibile rimuovere tutti gli accessi utente, interrompere la sessione del portale di AWS accesso attivo e disabilitare l'accesso dell'utente. Scopri come utilizzare la politica di rifiuto insieme ad azioni aggiuntive per una più ampia revoca dell'accesso. [Visualizza e termina le sessioni attive per gli utenti della tua forza lavoro](end-active-sessions.md)

### Politica di negazione
<a name="deny-policy"></a>

Puoi utilizzare una policy Deny con una condizione che `UserID` corrisponda a quella dell'utente dell'archivio di identità di IAM Identity Center per impedire ulteriori azioni da parte di un ruolo IAM che l'utente sta utilizzando attivamente. L'utilizzo di questa policy evita l'impatto sugli altri utenti che potrebbero utilizzare lo stesso set di autorizzazioni quando si implementa la politica Deny. Questa politica utilizza l'ID utente segnaposto*`Add user ID here`*, `"identitystore:userId"` che dovrai aggiornare con l'ID utente per il quale desideri revocare l'accesso.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "identitystore:userId": "Add user ID here"  
                }
            }
        }
    ]
}
```

------

Sebbene sia possibile utilizzare un'altra chiave di condizione`“aws:userId”`, ad esempio, `“identitystore:userId”` is certain perché si tratta di un valore unico a livello globale associato a una persona. L'utilizzo della condizione può essere influenzato dal modo `“aws:userId”` in cui gli attributi utente vengono sincronizzati dall'origine delle identità e può cambiare se il nome utente o l'indirizzo e-mail dell'utente cambiano.

Dalla console IAM Identity Center, puoi trovare un utente `identitystore:userId` accedendo a **Utenti**, cercando l'utente per nome, espandendo la sezione **Informazioni generali** e copiando l'ID utente. È anche comodo interrompere la sessione del portale di AWS accesso di un utente e disabilitarne l'accesso all'accesso nella stessa sezione durante la ricerca dell'ID utente. È possibile automatizzare il processo di creazione di una politica di rifiuto ottenendo l'ID utente tramite una query nell'archivio di identità. APIs

### Implementazione della politica di negazione
<a name="deploy-deny-policy"></a>

 È possibile utilizzare un ID utente segnaposto non valido, ad esempio per implementare in anticipo la politica Deny utilizzando una Service Control Policy (SCP) associata agli utenti a cui gli utenti potrebbero avere accesso. `Add user ID here` Account AWS Questo è l'approccio consigliato per la facilità e la velocità di impatto. Quando revochi l'accesso di un utente con la politica Nega, modificherai la politica per sostituire l'ID utente segnaposto con l'ID utente della persona di cui desideri revocare l'accesso. Ciò impedisce all'utente di intraprendere azioni con qualsiasi autorizzazione impostata in ogni account a cui colleghi l'SCP. Blocca le azioni dell'utente anche se utilizza la sessione del portale di AWS accesso attivo per accedere a diversi account e assumere ruoli diversi. Con l'accesso dell'utente completamente bloccato da SCP, è possibile disabilitare la sua capacità di accedere, revocare le assegnazioni e interrompere la sessione del portale di AWS accesso, se necessario. 

In alternativa all'utilizzo SCPs, è possibile includere la politica Deny anche nella politica in linea dei set di autorizzazioni e nelle politiche gestite dai clienti utilizzate dai set di autorizzazioni a cui l'utente può accedere. 

Se è necessario revocare l'accesso a più di una persona, è possibile utilizzare un elenco di valori nel blocco delle condizioni, ad esempio:

```
            "Condition": {
                    "StringEquals": {
                        "identitystore:userId": [" user1 userId", "user2 userId"...]
                        }
        }
```

**Importante**  
Indipendentemente dai metodi utilizzati, è necessario intraprendere qualsiasi altra azione correttiva e mantenere l'ID utente dell'utente nella politica per almeno 12 ore. Dopo tale periodo, tutti i ruoli assunti dall'utente scadono e puoi quindi rimuovere il relativo ID utente dalla politica Deny.

# Riferimento ai set di autorizzazioni nelle politiche delle risorse, nelle mappe di configurazione dei cluster Amazon EKS e AWS KMS nelle politiche chiave
<a name="referencingpermissionsets"></a>

Quando assegni un set di autorizzazioni a un AWS account, IAM Identity Center crea un ruolo con un nome che inizia con. `AWSReservedSSO_` 

 Il nome completo e Amazon Resource Name (ARN) del ruolo utilizzano il seguente formato: 


| Nome | ARN | 
| --- | --- | 
| AWSReservedSSO\$1permission-set-name\$1unique-suffix | arn:aws:iam::aws-account-ID:role/aws-reserved/sso.amazonaws.com/aws-region/AWSReservedSSO\$1permission-set-name\$1unique-suffix | 

Se la tua fonte di identità in IAM Identity Center è ospitata su us-east-1, non è presente *aws-region* nell'ARN. Il nome completo e l'ARN del ruolo utilizzano il formato seguente:


| Nome | ARN | 
| --- | --- | 
| AWSReservedSSO\$1permission-set-name\$1unique-suffix | arn:aws:iam::aws-account-ID:role/aws-reserved/sso.amazonaws.com/AWSReservedSSO\$1permission-set-name\$1unique-suffix | 

Ad esempio, se si crea un set di autorizzazioni che concede l'accesso tramite AWS account agli amministratori del database, viene creato un ruolo corrispondente con il nome e l'ARN seguenti:


| Nome | ARN | 
| --- | --- | 
| AWSReservedSSO\$1DatabaseAdministrator\$11234567890abcdef  | arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO\$1DatabaseAdministrator\$11234567890abcdef | 

Se si eliminano tutte le assegnazioni a questo set di autorizzazioni nell' AWS account, viene eliminato anche il ruolo corrispondente creato da IAM Identity Center. Se in un secondo momento effettui una nuova assegnazione allo stesso set di autorizzazioni, IAM Identity Center crea un nuovo ruolo per il set di autorizzazioni. Il nome e l'ARN del nuovo ruolo includono un suffisso diverso e univoco. **In questo esempio, il suffisso univoco è abcdef0123456789.**


| Nome | ARN | 
| --- | --- | 
| AWSReservedSSO\$1DatabaseAdministrator\$1abcdef0123456789 | arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO\$1DatabaseAdministrator\$1abcdef0123456789 | 

La modifica del suffisso nel nuovo nome e nell'ARN per il ruolo farà sì che qualsiasi politica che faccia riferimento al nome e all'ARN originali out-of-date sia tale da interrompere l'accesso per le persone che utilizzano il set di autorizzazioni corrispondente. Ad esempio, una modifica dell'ARN per il ruolo interromperà l'accesso degli utenti del set di autorizzazioni se si fa riferimento all'ARN originale nelle seguenti configurazioni:
+ Nel `aws-auth ConfigMap` file per i cluster Amazon Elastic Kubernetes Service (Amazon EKS) quando utilizzi per l'accesso al cluster. `aws-auth ConfigMap`
+ In una politica basata sulle risorse per una chiave (). AWS Key Management Service AWS KMS Questa politica viene anche definita politica chiave.

**Nota**  
Ti consigliamo di utilizzare le [voci di accesso di Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/grant-k8s-access.html) per gestire l'accesso ai tuoi cluster Amazon EKS. Ciò consente di utilizzare le autorizzazioni IAM per gestire i principali che hanno accesso a un cluster Amazon EKS. Utilizzando le voci di accesso di Amazon EKS, puoi utilizzare un principale IAM con autorizzazioni Amazon EKS per riottenere l'accesso a un cluster senza contattare. Supporto

Sebbene sia possibile aggiornare le politiche basate sulle risorse per la maggior parte dei AWS servizi per fare riferimento a un nuovo ARN per un ruolo che corrisponde a un set di autorizzazioni, è necessario disporre di un ruolo di backup da creare in IAM per Amazon EKS e se AWS KMS l'ARN cambia. Per Amazon EKS, il ruolo IAM di backup deve esistere in`aws-auth ConfigMap`. Perché AWS KMS deve esistere nelle tue politiche chiave. Se non disponi di un ruolo IAM di backup con le autorizzazioni per aggiornare la policy `aws-auth ConfigMap` o la policy AWS KMS chiave, contatta Supporto per riottenere l'accesso a tali risorse.

## Consigli per evitare interruzioni dell'accesso
<a name="avoid-access-disruptions"></a>

Per evitare interruzioni dell'accesso dovute a modifiche all'ARN per un ruolo che corrisponde a un set di autorizzazioni, si consiglia di effettuare le seguenti operazioni. 
+ **Mantieni almeno l'assegnazione di un set di autorizzazioni.** 

  Gestisci questa assegnazione negli AWS account che contengono i ruoli a cui fai riferimento in Amazon EKS, le politiche chiave o le politiche basate sulle risorse `aws-auth ConfigMap` per altri. AWS KMS Servizi AWS

  Ad esempio, se crei un set di `EKSAccess` autorizzazioni e fai riferimento all'ARN del ruolo corrispondente dall' AWS account`111122223333`, assegna in modo permanente un gruppo amministrativo al set di autorizzazioni in quell'account. Poiché l'assegnazione è permanente, IAM Identity Center non eliminerà il ruolo corrispondente, il che elimina il rischio di ridenominazione. Il gruppo amministrativo avrà sempre accesso senza il rischio di un aumento dei privilegi.
+ **Per i cluster Amazon EKS che utilizzano `aws-auth ConfigMap` e AWS KMS: includono un ruolo creato in IAM.**

  Se fai riferimento al ruolo ARNs per i set di autorizzazioni in un cluster `aws-auth ConfigMap` per Amazon EKS o nelle politiche chiave per le AWS KMS chiavi, ti consigliamo di includere anche almeno un ruolo che crei in IAM. Il ruolo deve consentirti di accedere al cluster Amazon EKS o gestire la policy AWS KMS chiave. Il set di autorizzazioni deve essere in grado di assumere questo ruolo. In questo modo, se il ruolo ARN per un set di autorizzazioni cambia, puoi aggiornare il riferimento all'ARN nella `aws-auth ConfigMap` politica o chiave. AWS KMS La sezione successiva fornisce un esempio di come è possibile creare una policy di fiducia per un ruolo creato in IAM. Il ruolo può essere assunto solo da un set di `AdministratorAccess` autorizzazioni. 

## Esempio di politica di fiducia personalizzata
<a name="custom-trust-policy-example"></a>

Di seguito è riportato un esempio di policy di fiducia personalizzata che fornisce un set di `AdministratorAccess` autorizzazioni con accesso a un ruolo creato in IAM. Gli elementi chiave di questa politica includono:
+ L'elemento principale di questa politica di fiducia specifica l'intestatario AWS del conto. In questa policy, i responsabili dell' AWS account `111122223333` con `sts:AssumeRole` autorizzazioni possono assumere il ruolo creato in IAM. 
+ La base `Condition element` di questa politica di fiducia specifica requisiti aggiuntivi per i responsabili che possono assumere il ruolo creato in IAM. In questo criterio, il ruolo può essere assunto dal set di autorizzazioni con il seguente ruolo ARN.

  ```
  arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*"
  ```
**Nota**  
L'`Condition`elemento include l'operatore `ArnLike` condition e utilizza un carattere jolly alla fine del ruolo ARN del set di autorizzazioni, anziché un suffisso univoco. Ciò significa che la policy consente al set di autorizzazioni di assumere il ruolo creato in IAM anche se il ruolo ARN per il set di autorizzazioni cambia. 

------
#### [ JSON ]

****  

  ```
  {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": "sts:AssumeRole",
        "Condition": {
          "ArnLike": {
            "aws:PrincipalArn": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*"
          }
        }
      }
    ]
  }
  ```

------

  L'inclusione di un ruolo creato in IAM in tale politica ti fornirà l'accesso di emergenza ai tuoi cluster Amazon EKS o ad altre AWS risorse se un set di autorizzazioni o tutte le assegnazioni al set di autorizzazioni vengono eliminati e ricreati accidentalmente. AWS KMS keys

# Controllo dell’accesso basato sugli attributi
<a name="abac"></a>

Il controllo dell’accesso basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi. Puoi utilizzare IAM Identity Center per gestire l'accesso alle tue AWS risorse su più livelli Account AWS utilizzando attributi utente che provengono da qualsiasi fonte di identità IAM Identity Center. In AWS, questi attributi sono chiamati tag. L'utilizzo degli attributi utente come tag AWS aiuta a semplificare il processo di creazione di autorizzazioni dettagliate AWS e garantisce che la forza lavoro abbia accesso solo alle risorse con tag corrispondenti. AWS 

Ad esempio, puoi assegnare agli sviluppatori Bob e Sally, che fanno parte di due team diversi, lo stesso set di autorizzazioni in IAM Identity Center e quindi selezionare l'attributo del nome del team per il controllo degli accessi. Quando Bob e Sally accedono al loro Account AWS, IAM Identity Center invia l'attributo del nome del team AWS durante la sessione in modo che Bob e Sally possano accedere alle risorse AWS del progetto solo se l'attributo del nome del team corrisponde al tag del nome del team sulla risorsa del progetto. Se Bob passerà al team di Sally in futuro, puoi modificare il suo accesso semplicemente aggiornando l'attributo del nome del team nella directory aziendale. La prossima volta che Bob accederà, avrà automaticamente accesso alle risorse di progetto del suo nuovo team senza richiedere alcun aggiornamento delle autorizzazioni. AWS

Questo approccio aiuta anche a ridurre il numero di autorizzazioni distinte da creare e gestire in IAM Identity Center, poiché gli utenti associati agli stessi set di autorizzazioni possono ora disporre di autorizzazioni uniche in base ai loro attributi. Puoi utilizzare questi attributi utente nei set di autorizzazioni di IAM Identity Center e nelle politiche basate sulle risorse per implementare ABAC nelle AWS risorse e semplificare la gestione delle autorizzazioni su larga scala.

## Vantaggi
<a name="abac-benefits"></a>

Di seguito sono riportati i vantaggi aggiuntivi dell'utilizzo di ABAC in IAM Identity Center.
+ **ABAC richiede un minor numero di set di autorizzazioni**: poiché non è necessario creare politiche diverse per diverse funzioni lavorative, si creano meno set di autorizzazioni. Ciò riduce la complessità della gestione delle autorizzazioni.
+ **Utilizzando ABAC, i team possono cambiare e crescere rapidamente**: le autorizzazioni per le nuove risorse vengono concesse automaticamente in base agli attributi quando le risorse vengono etichettate in modo appropriato al momento della creazione. 
+ **Usa gli attributi dei dipendenti dalla tua directory aziendale con ABAC**: puoi utilizzare gli attributi dei dipendenti esistenti da qualsiasi fonte di identità configurata in IAM Identity Center per prendere decisioni sul controllo degli accessi in. AWS
+ **Tieni traccia di chi accede alle risorse**: gli amministratori della sicurezza possono determinare facilmente l'identità di una sessione esaminando gli attributi utente in cui AWS CloudTrail tenere traccia delle attività degli utenti. AWS

Per informazioni su come configurare ABAC utilizzando la console IAM Identity Center, consulta. [Attributi per il controllo degli accessi](attributesforaccesscontrol.md) Per informazioni su come abilitare e configurare ABAC utilizzando IAM Identity Center APIs, consulta la Guida di *riferimento [CreateInstanceAccessControlAttributeConfiguration](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_CreateInstanceAccessControlAttributeConfiguration.html)all'API IAM Identity Center*.

**Topics**
+ [Vantaggi](#abac-benefits)
+ [Elenco di controllo: configurazione di ABAC utilizzando IAM Identity Center AWS](abac-checklist.md)
+ [Attributi per il controllo degli accessi](attributesforaccesscontrol.md)

# Elenco di controllo: configurazione di ABAC utilizzando IAM Identity Center AWS
<a name="abac-checklist"></a>

Questa lista di controllo include le attività di configurazione necessarie per preparare AWS le risorse e configurare IAM Identity Center per l'accesso ABAC. Completa le attività in questa lista di controllo in ordine. Quando un link di riferimento rimanda a un argomento, torna su questo argomento in modo da poter procedere con le attività rimanenti di questa lista di controllo.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/abac-checklist.html)

Dopo aver completato questi passaggi, gli utenti che effettueranno la federazione in un sistema Account AWS Single Sign-On avranno accesso alle proprie AWS risorse in base agli attributi corrispondenti. 

# Attributi per il controllo degli accessi
<a name="attributesforaccesscontrol"></a>

**Attributi per il controllo degli accessi** è il nome della pagina nella console IAM Identity Center in cui selezioni gli attributi utente da utilizzare nelle policy per controllare l'accesso alle risorse. Puoi assegnare utenti ai carichi di lavoro in AWS base agli attributi esistenti nella fonte di identità degli utenti.

Ad esempio, supponiamo di voler assegnare l'accesso ai bucket S3 in base ai nomi dei reparti. Nella pagina **Attributi per il controllo degli accessi**, si seleziona l'attributo utente **Department** da utilizzare con il controllo degli accessi basato sugli attributi (ABAC). Nel set di autorizzazioni IAM Identity Center, scrivi quindi una policy che concede agli utenti l'accesso solo quando l'attributo **Department corrisponde al tag department** che hai assegnato ai tuoi bucket S3. IAM Identity Center passa l'attributo department dell'utente all'account a cui si accede. L'attributo viene quindi utilizzato per determinare l'accesso in base alla policy. Per ulteriori informazioni su ABAC, vedere[Controllo dell’accesso basato sugli attributi](abac.md). 

## Nozioni di base
<a name="abac-getting-started"></a>

Il modo in cui si inizia a configurare gli attributi per il controllo degli accessi dipende dalla fonte di identità utilizzata. Indipendentemente dalla fonte di identità scelta, dopo aver selezionato gli attributi è necessario creare o modificare le politiche relative ai set di autorizzazioni. Queste politiche devono concedere alle identità degli utenti l'accesso alle AWS risorse. 

### Scelta degli attributi quando utilizzi IAM Identity Center come fonte di identità
<a name="abac-getting-started-sso"></a>

Quando configuri IAM Identity Center come fonte di identità, devi prima aggiungere utenti e configurarne gli attributi. Successivamente, vai alla pagina **Attributi per il controllo degli accessi** e seleziona gli attributi che desideri utilizzare nelle politiche. Infine, vai alla **Account AWS**pagina per creare o modificare i set di autorizzazioni per utilizzare gli attributi per ABAC.

### Scelta degli attributi da utilizzare AWS Managed Microsoft AD come fonte di identità
<a name="abac-getting-started-ms-ad"></a>

Quando configuri IAM Identity Center AWS Managed Microsoft AD come fonte di identità, per prima cosa mappi un set di attributi da Active Directory agli attributi utente in IAM Identity Center. Successivamente, vai alla pagina **Attributi per il controllo degli accessi**. Scegliete quindi quali attributi utilizzare nella configurazione ABAC in base al set esistente di attributi SSO mappati da Active Directory. Infine, crea le regole ABAC utilizzando gli attributi di controllo degli accessi nei set di autorizzazioni per concedere alle identità degli utenti l'accesso alle risorse. AWS Per un elenco delle mappature predefinite degli attributi utente in IAM Identity Center agli attributi utente nella directory AWS Managed Microsoft AD , consulta. [Mappature predefinite tra IAM Identity Center e Microsoft AD](attributemappingsconcept.md#defaultattributemappings)

### Scelta degli attributi quando si utilizza un provider di identità esterno come fonte di identità
<a name="abac-getting-started-idp"></a>

Quando configuri IAM Identity Center con un provider di identità esterno (IdP) come fonte di identità, ci sono due modi per utilizzare gli attributi per ABAC.
+ Puoi configurare il tuo IdP per inviare gli attributi tramite asserzioni SAML. In questo caso, IAM Identity Center trasmette il nome e il valore dell'attributo dall'IdP per la valutazione delle policy.
**Nota**  
Gli attributi nelle asserzioni SAML non saranno visibili nella pagina **Attributi per il controllo degli accessi**. Dovrai conoscere questi attributi in anticipo e aggiungerli alle regole di controllo degli accessi quando crei le politiche. Se decidi di affidarti IdPs agli attributi esterni, questi attributi verranno sempre trasmessi quando gli utenti si uniscono Account AWS. Negli scenari in cui gli stessi attributi arrivano a IAM Identity Center tramite SAML e SCIM, il valore degli attributi SCIM ha la precedenza nelle decisioni sul controllo degli accessi.
+ È possibile configurare gli attributi da utilizzare dalla pagina **Attributi per il controllo degli accessi** nella console IAM Identity Center. I valori degli attributi che scegli qui sostituiscono i valori per tutti gli attributi corrispondenti che provengono da un IdP tramite un'asserzione. A seconda che stiate usando SCIM, considerate quanto segue:
  + Se si utilizza SCIM, l'IdP sincronizza automaticamente i valori degli attributi in IAM Identity Center. Gli attributi aggiuntivi necessari per il controllo degli accessi potrebbero non essere presenti nell'elenco degli attributi SCIM. In tal caso, prendi in considerazione la possibilità di collaborare con l'amministratore IT del tuo IdP per inviare tali attributi a IAM Identity Center tramite asserzioni SAML utilizzando il prefisso richiesto. `https://aws.amazon.com/SAML/Attributes/AccessControl:` Per informazioni su come configurare gli attributi utente per il controllo degli accessi nel tuo IdP da inviare tramite asserzioni SAML, consulta la sezione per [Tutorial sulle fonti di identità di IAM Identity Center](tutorials.md) il tuo IdP.
  + Se non utilizzi SCIM, devi aggiungere manualmente gli utenti e impostarne gli attributi proprio come se stessi utilizzando IAM Identity Center come fonte di identità. Successivamente, vai alla pagina **Attributi per il controllo degli accessi** e scegli gli attributi che desideri utilizzare nelle politiche. 

Per un elenco completo degli attributi utente supportati dagli attributi utente in IAM Identity Center agli attributi utente esterni IdPs, consulta[Attributi del provider di identità esterno supportati](attributemappingsconcept.md#supportedidpattributes).

Per iniziare a usare ABAC in IAM Identity Center, consulta i seguenti argomenti.

**Topics**
+ [Nozioni di base](#abac-getting-started)
+ [Abilita e configura gli attributi per il controllo degli accessi](configure-abac.md)
+ [Crea politiche di autorizzazione per ABAC in IAM Identity Center](configure-abac-policies.md)

# Abilita e configura gli attributi per il controllo degli accessi
<a name="configure-abac"></a>

[Per utilizzare il controllo degli accessi basato sugli attributi (ABAC), devi prima abilitarlo nella pagina **Impostazioni** della console IAM Identity Center o nell'API IAM Identity Center.](https://docs.aws.amazon.com//singlesignon/latest/APIReference/API_CreateInstanceAccessControlAttributeConfiguration.html) Indipendentemente dall'origine dell'identità, puoi sempre configurare gli attributi utente dall'Identity Store per utilizzarli in ABAC. Nella console, puoi farlo accedendo alla scheda **Attributi per il controllo degli accessi** nella pagina **Impostazioni**. Se utilizzi un provider di identità esterno (IdP) come origine dell'identità, hai anche la possibilità di ricevere gli attributi dall'IdP esterno nelle asserzioni SAML. In questo caso, è necessario configurare l'IdP esterno per inviare gli attributi desiderati. Se un attributo di un'asserzione SAML è definito anche come attributo ABAC in IAM Identity Center, IAM Identity Center invierà il valore dal suo Identity Store come [tag di sessione](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_session-tags.html) al momento dell'accesso a un. Account AWS

**Nota**  
Non è possibile visualizzare gli attributi configurati e inviati da un IdP esterno dalla pagina **Attributi per il controllo degli accessi** nella console IAM Identity Center. Se stai passando gli attributi di controllo dell'accesso nelle asserzioni SAML dal tuo IdP esterno, tali attributi vengono inviati direttamente a Account AWS quando gli utenti si federano. Gli attributi non saranno disponibili in IAM Identity Center per la mappatura.

**Topics**
+ [Abilita gli attributi per il controllo degli accessi](enable-abac.md)
+ [Seleziona gli attributi per il controllo degli accessi](configure-abac-attributes.md)
+ [Disabilitazione di attributi per il controllo degli accessi](disable-abac.md)

# Abilita gli attributi per il controllo degli accessi
<a name="enable-abac"></a>

Utilizza la seguente procedura per abilitare la funzionalità di controllo degli attributi di accesso (ABAC) utilizzando la console IAM Identity Center.

**Nota**  
Se disponi di set di autorizzazioni esistenti e prevedi di abilitare ABAC nella tua istanza IAM Identity Center, ulteriori restrizioni di sicurezza richiedono che tu disponga innanzitutto della `iam:UpdateAssumeRolePolicy` policy. Queste restrizioni di sicurezza aggiuntive non sono necessarie se non hai creato alcun set di autorizzazioni nel tuo account.  
Se la tua istanza IAM Identity Center è stata creata prima di dicembre 2020 e prevedi di abilitare ABAC al suo interno, devi disporre della `iam:UpdateAssumeRolePolicy` policy associata al ruolo amministrativo di IAM Identity Center, indipendentemente dal fatto che nel tuo account siano stati creati set di autorizzazioni.

**Per abilitare gli attributi per il controllo degli accessi**

1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).

1. Scegli **Impostazioni**

1. Nella pagina **Impostazioni**, individua la casella **Attributi per le informazioni sul controllo di accesso**, quindi scegli **Abilita**. Prosegui con la procedura successiva per configurarlo.

# Seleziona gli attributi per il controllo degli accessi
<a name="configure-abac-attributes"></a>

Utilizzate la seguente procedura per impostare gli attributi per la vostra configurazione ABAC. 

**Per selezionare gli attributi utilizzando la console IAM Identity Center**

1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).

1. Scegli **Impostazioni**

1. Nella pagina **Impostazioni**, scegli la scheda **Attributi per il controllo degli accessi**, quindi scegli **Gestisci attributi**.

1. Nella pagina **Attributi per il controllo degli accessi**, scegli **Aggiungi attributo** e inserisci i dettagli della **chiave** e del **valore**. Qui è dove mapperai l'attributo proveniente dalla tua origine di identità a un attributo che IAM Identity Center passa come tag di sessione.  
![\[Dettagli sui valori chiave nella console IAM Identity Center.\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/abac_key_value.png)

   La **chiave** rappresenta il nome che stai dando all'attributo da utilizzare nelle politiche. Può essere qualsiasi nome arbitrario, ma è necessario specificare quel nome esatto nelle politiche create per il controllo degli accessi. Ad esempio, supponiamo che tu stia utilizzando Okta (un IdP esterno) come fonte di identità e che sia necessario trasmettere i dati del centro di costo dell'organizzazione come tag di sessione. In **Key**, inseriresti un nome simile **CostCenter**a quello della tua chiave. È importante notare che qualunque nome tu scelga qui, deve avere lo stesso nome nel tuo `Chiave di condizione aws:PrincipalTag` (ovvero,`"ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"`).
**Nota**  
Usa un attributo a valore singolo per la tua chiave, ad esempio. **Manager** IAM Identity Center non supporta attributi multivalore per ABAC, ad esempio. **Manager, IT Systems**

   Il **valore** rappresenta il contenuto dell'attributo proveniente dalla fonte di identità configurata. Qui puoi inserire qualsiasi valore dalla tabella di origine dell'identità appropriata elencata in[Mappature degli attributi tra IAM Identity Center e la directory External Identity Provider](attributemappingsconcept.md). Ad esempio, utilizzando il contesto fornito nell'esempio precedente, esamineresti l'elenco degli attributi IdP supportati e stabiliresti che sarebbe **`${path:enterprise.costCenter}`**la corrispondenza più vicina a un attributo supportato, quindi lo inseriresti nel campo **Valore**. Vedi lo screenshot fornito sopra come riferimento. Tieni presente che non puoi utilizzare valori di attributi IdP esterni al di fuori di questo elenco per ABAC a meno che non utilizzi l'opzione di passare gli attributi tramite l'asserzione SAML.

1. Scegli **Save changes** (Salva modifiche).

Ora che hai configurato la mappatura degli attributi di controllo degli accessi, devi completare il processo di configurazione ABAC. A tale scopo, create le regole ABAC e aggiungetele ai set and/or di autorizzazioni, alle politiche basate sulle risorse. Ciò è necessario per consentire alle identità degli utenti di accedere alle risorse. AWS Per ulteriori informazioni, consulta [Crea politiche di autorizzazione per ABAC in IAM Identity Center](configure-abac-policies.md).

# Disabilitazione di attributi per il controllo degli accessi
<a name="disable-abac"></a>

Utilizzare la procedura seguente per disabilitare la funzione ABAC ed eliminare tutte le mappature degli attributi che sono state configurate. 

**Per disabilitare gli attributi per il controllo degli accessi**

1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).

1. Seleziona **Impostazioni**.

1. Nella pagina **Impostazioni**, scegli la scheda **Attributi per il controllo dell'accesso**, quindi scegli **Gestisci attributi**.

1. Nella pagina **Gestisci gli attributi per il controllo degli accessi**, scegli **Disabilita**.

1. Nella finestra di dialogo **Disabilita gli attributi per il controllo degli accessi**, rivedi le informazioni e, quando sei pronto**DISABLE**, inserisci, quindi scegli **Conferma**.
**Importante**  
Questo passaggio elimina tutti gli attributi e interrompe l'uso degli attributi per il controllo degli accessi durante la federazione, Account AWS indipendentemente dalla presenza di attributi nelle asserzioni SAML di un provider di origini di identità esterno.

# Crea politiche di autorizzazione per ABAC in IAM Identity Center
<a name="configure-abac-policies"></a>

È possibile creare politiche di autorizzazione che determinano chi può accedere alle AWS risorse in base al valore dell'attributo configurato. Quando abiliti ABAC e specifichi gli attributi, IAM Identity Center passa il valore dell'attributo dell'utente autenticato a IAM per utilizzarlo nella valutazione delle policy.

## Chiave di condizione aws:PrincipalTag
<a name="abac-principaltag"></a>

È possibile utilizzare gli attributi di controllo degli accessi nei set di autorizzazioni utilizzando la chiave di `aws:PrincipalTag` condizione per creare regole di controllo degli accessi. Ad esempio, nella seguente politica è possibile etichettare tutte le risorse dell'organizzazione con i rispettivi centri di costo. È inoltre possibile utilizzare un unico set di autorizzazioni che consente agli sviluppatori di accedere alle risorse dei propri centri di costo. Ora, ogni volta che gli sviluppatori si uniscono all'account utilizzando il Single Sign-On e l'attributo relativo al centro di costo, ottengono l'accesso solo alle risorse dei rispettivi centri di costo. Man mano che il team aggiunge più sviluppatori e risorse al proprio progetto, devi solo etichettare le risorse con il centro di costo corretto. Quindi trasmetti le informazioni sui centri di costo durante la AWS sessione in cui gli sviluppatori si uniscono Account AWS. Di conseguenza, man mano che l'organizzazione aggiunge nuove risorse e gli sviluppatori al centro di costo, gli sviluppatori possono gestire le risorse in linea con i propri centri di costo senza bisogno di aggiornamenti delle autorizzazioni.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}
```

------

*Per ulteriori informazioni, consulta [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag)e [EC2: Avvia o interrompi le istanze in base alla corrispondenza dei tag principali e di risorsa](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_ec2-start-stop-match-tags.html) nella IAM User Guide.*

Se le policy contengono attributi non validi nelle loro condizioni, la condizione della policy fallirà e l'accesso verrà negato. Per ulteriori informazioni, consulta [Errore «Si è verificato un errore imprevisto» quando un utente tenta di accedere utilizzando un provider di identità esterno](troubleshooting.md#issue8).

# Comprensione dei ruoli collegati ai servizi in IAM Identity Center
<a name="slrconcept"></a>

I [ruoli collegati ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html?icmpid=docs_iam_console#iam-term-service-linked-role) sono autorizzazioni IAM predefinite che consentono a IAM Identity Center di delegare e stabilire quali utenti hanno accesso Single Sign-On a determinati membri dell'organizzazione. Account AWS AWS Organizations Il servizio abilita questa funzionalità fornendo un ruolo collegato al servizio in ogni parte della sua organizzazione. Account AWS Il servizio consente quindi ad altri AWS servizi come IAM Identity Center di sfruttare tali ruoli per eseguire attività relative ai servizi. Per ulteriori informazioni, consulta la sezione Ruoli collegati ai [AWS Organizations servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_integrate_services-using_slrs).

Quando abiliti IAM Identity Center, IAM Identity Center crea un ruolo collegato ai servizi in tutti gli account all'interno dell'organizzazione in. AWS Organizations IAM Identity Center crea inoltre lo stesso ruolo collegato ai servizi in ogni account che viene successivamente aggiunto all'organizzazione. Questo ruolo consente a IAM Identity Center di accedere alle risorse di ciascun account per tuo conto. Per ulteriori informazioni, consulta [Configurare l'accesso a Account AWS](manage-your-accounts.md). 

I ruoli collegati ai servizi che vengono creati in ciascuno di essi Account AWS sono denominati. `AWSServiceRoleForSSO` Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per IAM Identity Center](using-service-linked-roles.md).

**Note**  
Se hai effettuato l'accesso all'account di AWS Organizations gestione, questo utilizza il ruolo attualmente connesso e non il ruolo collegato al servizio. Ciò impedisce l'aumento dei privilegi.
Quando IAM Identity Center esegue qualsiasi operazione IAM nell'account di AWS Organizations gestione, tutte le operazioni avvengono utilizzando le credenziali del responsabile IAM. Ciò consente agli accessi di CloudTrail fornire la visibilità di chi ha apportato tutte le modifiche ai privilegi nell'account di gestione.