Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Concetti chiave della politica di accesso di Amazon SNS
Nelle seguenti sezioni vengono descritti i concetti necessari per l’utilizzo del linguaggio della policy di accesso. Sono presentati secondo un ordinamento logico, con i primi termini che devi conoscere in cima all'elenco.
## Autorizzazione
L'*autorizzazione* è il concetto che permette o rifiuta un tipo di accesso a una particolare risorsa. Le autorizzazioni seguono essenzialmente questo modulo: "A ha/non ha l'autorizzazione di eseguire B in C se si applica D". Ad esempio, *Jane* (A) ha l'autorizzazione a *pubblicare* (B) in *TopicA* (C) se *usa il protocollo HTTP* (D). Ogni volta che Jane pubblica in TopicA, il servizio verifica se ha l'autorizzazione e se la richiesta soddisfa le condizioni stabilite nell'autorizzazione.
## Dichiarazione
Una *dichiarazione* è la descrizione formale di una singola autorizzazione, scritta nel linguaggio della policy di accesso. Scrivi sempre una dichiarazione nell'ambito di un documento container più ampio denominato *policy* (vedi il prossimo concetto).
## Policy
Una *policy* è un documento (scritto nella sintassi della/e policy di accesso) che funge da container per una o più dichiarazioni. Ad esempio, una policy potrebbe avere due dichiarazioni: una che afferma che Jane può iscriversi utilizzando il protocollo e-mail e un'altra che afferma che Bob non può pubblicare in Topic A. Come mostrato nella figura seguente, uno scenario equivalente potrebbe avere due policy, una che afferma che Jane può iscriversi utilizzando il protocollo e-mail e un altro che afferma che Bob non può pubblicare su Topic A.
![\[Confronta due modi di organizzare le dichiarazioni politiche in Amazon SNS. A sinistra, una singola policy (Policy A) contiene due dichiarazioni. A destra, le stesse due istruzioni sono suddivise tra due politiche, ognuna delle quali contiene un'istruzione. Il diagramma illustra che questi due approcci sono equivalenti in termini di definizione e applicazione delle autorizzazioni.\]](http://docs.aws.amazon.com/it_it/sns/latest/dg/images/AccessPolicyLanguage_Statement_and_Policy.gif)
Solo i caratteri ASCII sono ammessi nei documenti delle policy. È possibile utilizzare `aws:SourceAccount` e `aws:SourceOwner` aggirare lo scenario in cui è necessario collegare altri AWS servizi ARNs che contengono caratteri non ASCII. vedi la differenza tra [`aws:SourceAccount` rispetto a `aws:SourceOwner`](sns-access-policy-use-cases.md#source-account-versus-source-owner).
## Emittente
L'*emittente* è la persona che scrive una policy per concedere le autorizzazioni per una risorsa. L'emittente (per definizione) è sempre il proprietario della risorsa. AWS non consente agli utenti AWS del servizio di creare politiche per risorse che non possiedono. Se John è il proprietario della risorsa, AWS autentica l'identità di John quando invia la politica che ha scritto per concedere le autorizzazioni per quella risorsa.
## Principale
Il *principale* è la persona o le persone che ricevono l'autorizzazione nella policy. Il principale è A nella dichiarazione "A ha l'autorizzazione di eseguire B in C se si applica D". In una policy, puoi impostare il principale su "chiunque" (ovvero, puoi specificare un carattere jolly per rappresentare tutte le persone). Potresti farlo, ad esempio, se non vuoi limitare l'accesso in base all'identità effettiva del richiedente, ma in base ad altre caratteristiche identificative come l'indirizzo IP del richiedente.
## Azione
L'*operazione* è l'attività che il principale è autorizzato a eseguire. L'operazione è B nella dichiarazione "A dispone dell'autorizzazione di eseguire B in C se si applica D". In genere, l'azione è solo l'operazione inclusa nella richiesta a AWS. Ad esempio, Jane invia una richiesta ad Amazon SNS; con `Action``=Subscribe`. Puoi specificare una o più operazioni in una policy.
## Risorsa
La *risorsa* è l'oggetto al quale il principale richiede l'accesso. La risorsa è C nella dichiarazione "A ha l'autorizzazione di eseguire B in C se si applica D".
## Condizioni e chiavi
Le *condizioni* sono restrizioni o dettagli relativi all'autorizzazione. La condizione è D nella dichiarazione "A ha l'autorizzazione di eseguire B in C se si applica D". La parte della policy che specifica le condizioni può essere la più dettagliata e complessa di tutte le parti. Le condizioni tipiche sono correlate a:
+ Data e ora (ad esempio, la richiesta deve arrivare prima di un giorno specifico)
+ Indirizzo IP (ad esempio, l'indirizzo IP del richiedente deve far parte di un particolare intervallo CIDR)
La *chiave* è la caratteristica specifica che costituisce la base per la limitazione degli accessi. Ad esempio, la data e l'ora della richiesta.
Usa insieme *condizioni* e *chiavi* per esprimere la limitazione. Il modo più semplice per capire come si implementa effettivamente una limitazione è con un esempio: se vuoi limitare l'accesso a prima del 30 maggio 2010, utilizzi la condizione chiamata `DateLessThan`. Utilizzare la chiave chiamata `aws:CurrentTime` e impostarla sul valore `2010-05-30T00:00:00Z`. AWS definisce le condizioni e le chiavi che è possibile utilizzare. Il AWS servizio stesso (ad esempio, Amazon SQS o Amazon SNS) potrebbe anche definire chiavi specifiche del servizio. Per ulteriori informazioni, consulta [Autorizzazioni API Amazon SNS: riferimento a operazioni e risorse](sns-access-policy-language-api-permissions-reference.md).
## Richiedente
Il *richiedente* è la persona che invia una richiesta a un AWS servizio e chiede l'accesso a una particolare risorsa. Il richiedente invia una richiesta AWS che dice essenzialmente: «Mi permetterai di fare da B a C dove si applica D?»
## Valutazione
La *valutazione* è il processo utilizzato dal AWS servizio per determinare se una richiesta in arrivo debba essere rifiutata o consentita in base alle politiche applicabili. Per ulteriori informazioni sulla logica della valutazione, consulta [Logica della valutazione](sns-access-policy-language-evaluation-logic.md).
## Effetto
L'*effetto* è il risultato che una dichiarazione della policy vuoi che restituisca al momento della valutazione. Specifica questo valore quando scrivi le dichiarazioni in una policy e i valori possibili sono *diniego* e *permettere*.
Ad esempio, potresti scrivere una policy che ha una dichiarazione che *rifiuta* tutte le richieste provenienti dall'Antartide (effect=deny, presupponendo che la richiesta utilizzi un indirizzo IP assegnato all'Antartide). In alternativa, potresti scrivere una policy che ha una dichiarazione che *consente* tutte le richieste che *non* sono provenienti dall'Antartide (effect=allow, presupponendo che la richiesta non provenga dall'Antartide). Sebbene le due dichiarazioni sembrano facciano la stessa cosa, nella logica del linguaggio della policy di accesso sono diverse. Per ulteriori informazioni, consulta [Logica della valutazione](sns-access-policy-language-evaluation-logic.md).
Sebbene ci siano solo due possibili valori che puoi specificare per l'effetto (allow o deny), ci possono essere tre diversi risultati al momento della valutazione della policy: *rifiuto per default*, *consenso* o *rifiuto esplicito*. Per ulteriori informazioni, vedi i seguenti concetti e [Logica della valutazione](sns-access-policy-language-evaluation-logic.md).
## Rifiuto per default
*Rifiuto per default* è il risultato predefinito di una policy in assenza di un consenso o di un rifiuto esplicito.
## Consenso
Un *consenso* viene restituito da una dichiarazione che ha effect=allow, presupponendo che tutte le condizioni dichiarate siano soddisfatte. Esempio: consenti le richieste se vengono ricevute prima delle 13:00 del 30 aprile 2010. Un consenso sovrascrive tutti i rifiuti per default, ma mai un rifiuto esplicito.
## Rifiuto esplicito
Il *rifiuto esplicito* viene restituito da una dichiarazione che ha effect=deny, presupponendo che tutte le condizioni dichiarate siano soddisfatte. Esempio: rifiuta tutte le richieste se provengono dall'Antartide. Qualsiasi richiesta proveniente dall'Antartide sarà sempre rifiutata, a prescindere da eventuali altre policy.