Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Guida introduttiva a Tag Editor
**Importante**
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. Utilizziamo i tag per fornirti servizi di fatturazione e amministrazione. I tag non sono destinati ad essere utilizzati per dati privati o sensibili.
Per aggiungere tag o modificare o eliminare i tag di più risorse contemporaneamente, usa Tag Editor. Con questa funzionalità, è possibile cercare le risorse a cui applicare tag e quindi gestirli per quelle risorse dei tuoi risultati di ricerca.
**Per avviare l'editor di tag**
1. Accedi alla [Console di gestione AWS](https://console.aws.amazon.com/console/home).
1. Esegui una delle seguenti operazioni:
+ Scegli **Servizi**. Quindi, in **Management & Governance**, scegli **Resource Groups & Tag Editor**. Nel riquadro di navigazione a sinistra, scegli **Tag Editor**.
+ Usa il link diretto: [console AWS Tag Editor](https://console.aws.amazon.com/resource-groups/tag-editor/find-resources).
Non a tutte le risorse è possibile applicare tag. Per informazioni sulle risorse supportate da Tag Editor, consulta la colonna di **etichettatura di Tag Editor** in [Tipi di risorse supportati](https://docs.aws.amazon.com//ARG/latest/userguide/supported-resources.html) nella *Guida per l'AWS Resource Groups utente*. Se un tipo di risorsa che desideri taggare non è supportato, faccelo AWS sapere scegliendo **Feedback** nell'angolo in basso a sinistra della finestra della console.
Per informazioni su autorizzazioni e ruoli necessari per applicare tag alle risorse, vedi [Impostazione delle autorizzazioni](gettingstarted-prereqs-permissions.md).
**Topics**
+ [Prerequisiti per lavorare con Tag Editor](gettingstarted-prereqs.md)
+ [Impostazione delle autorizzazioni](gettingstarted-prereqs-permissions.md)
# Prerequisiti per lavorare con Tag Editor
Prima di iniziare a etichettare le tue risorse, assicurati di disporre di un account attivo Account AWS con le risorse esistenti e dei diritti appropriati per etichettare le risorse e creare gruppi.
**Topics**
+ [Registrati per un Account AWS](#sign-up-for-aws)
+ [Crea un utente con accesso amministrativo](#create-an-admin)
+ [Creare risorse](#gettingstarted-prereqs-create)
## Registrati per un Account AWS
Se non ne hai uno Account AWS, completa i seguenti passaggi per crearne uno.
**Per iscriverti a un Account AWS**
1. Apri la [https://portal.aws.amazon.com/billing/registrazione.](https://portal.aws.amazon.com/billing/signup)
1. Segui le istruzioni online.
Nel corso della procedura di registrazione riceverai una telefonata o un messaggio di testo e ti verrà chiesto di inserire un codice di verifica attraverso la tastiera del telefono.
Quando ti iscrivi a un Account AWS, *Utente root dell'account AWS*viene creato un. L’utente root dispone dell’accesso a tutte le risorse e tutti i Servizi AWS nell’account. Come best practice di sicurezza, assegna l’accesso amministrativo a un utente e utilizza solo l’utente root per eseguire [attività che richiedono l’accesso di un utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
AWS ti invia un'email di conferma dopo il completamento della procedura di registrazione. In qualsiasi momento, puoi visualizzare l'attività corrente del tuo account e gestirlo accedendo a [https://aws.amazon.com/](https://aws.amazon.com/)e scegliendo **Il mio account**.
## Crea un utente con accesso amministrativo
Dopo esserti registrato Account AWS, proteggi Utente root dell'account AWS AWS IAM Identity Center, abilita e crea un utente amministrativo in modo da non utilizzare l'utente root per le attività quotidiane.
**Proteggi i tuoi Utente root dell'account AWS**
1. Accedi [Console di gestione AWS](https://console.aws.amazon.com/)come proprietario dell'account scegliendo **Utente root** e inserendo il tuo indirizzo Account AWS email. Nella pagina successiva, inserisci la password.
Per informazioni sull’accesso utilizzando un utente root, consulta la pagina [Accedere come utente root](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) nella *Guida per l’utente di Accedi ad AWS *.
1. Abilita l’autenticazione a più fattori (MFA) per l’utente root.
Per istruzioni, consulta [Abilitare un dispositivo MFA virtuale per l'utente Account AWS root (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) nella Guida per l'*utente IAM*.
**Crea un utente con accesso amministrativo**
1. Abilita il Centro identità IAM.
Per istruzioni, consulta [Abilitazione del AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) nella *Guida per l’utente di AWS IAM Identity Center *.
1. Nel Centro identità IAM, assegna l’accesso amministrativo a un utente.
Per un tutorial sull'utilizzo di IAM Identity Center directory come fonte di identità, consulta [Configurare l'accesso utente con l'impostazione predefinita IAM Identity Center directory](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) nella *Guida per l'AWS IAM Identity Center utente*.
**Accesso come utente amministratore**
+ Per accedere come utente del Centro identità IAM, utilizza l’URL di accesso che è stato inviato al tuo indirizzo e-mail quando hai creato l’utente del Centro identità IAM.
Per informazioni sull'accesso utilizzando un utente IAM Identity Center, consulta [AWS Accedere al portale di accesso](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) nella *Guida per l'Accedi ad AWS utente*.
**Assegnazione dell’accesso ad altri utenti**
1. Nel Centro identità IAM, crea un set di autorizzazioni conforme alla best practice per l’applicazione di autorizzazioni con il privilegio minimo.
Segui le istruzioni riportate nella pagina [Creazione di un set di autorizzazioni](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) nella *Guida per l’utente di AWS IAM Identity Center *.
1. Assegna al gruppo prima gli utenti e poi l’accesso con autenticazione unica (Single Sign-On).
Per istruzioni, consulta [Aggiungere gruppi](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) nella *Guida per l’utente di AWS IAM Identity Center *.
## Creare risorse
È necessario disporre di risorse Account AWS per taggare. Per ulteriori informazioni sui tipi di risorse supportati, consulta la colonna **Tag Editor Tagging** in [Tipi di risorse supportati](https://docs.aws.amazon.com//ARG/latest/userguide/supported-resources.html) nella *Guida per l'AWS Resource Groups utente*.
# Impostazione delle autorizzazioni
Per sfruttare appieno Tag Editor, potresti aver bisogno di autorizzazioni aggiuntive per etichettare le risorse o per visualizzare le chiavi e i valori dei tag di una risorsa. Queste autorizzazioni rientrano nelle seguenti categorie:
+ Autorizzazioni per servizi singoli, che consentono di applicare tag alle risorse da tali servizi e includerle in gruppi di risorse.
+ Autorizzazioni necessarie per utilizzare la console Tag Editor.
Se sei un amministratore, puoi fornire le autorizzazioni ai tuoi utenti creando policy tramite il servizio AWS Identity and Access Management (IAM). Per prima cosa crei ruoli, utenti o gruppi IAM e poi applichi le policy con le autorizzazioni di cui hanno bisogno. Per informazioni sulla creazione e l'associazione delle policy IAM, consulta [Lavorare con](https://docs.aws.amazon.com//IAM/latest/UserGuide/ManagingPolicies.html) le policy.
## Autorizzazioni per singoli servizi
**Importante**
Questa sezione descrive le autorizzazioni necessarie per etichettare risorse **da altre console di AWS servizio** e. APIs
Per aggiungere tag a una risorsa, è necessario disporre delle autorizzazioni necessarie per il servizio a cui appartiene la risorsa. [Ad esempio, per etichettare le istanze Amazon EC2, devi disporre delle autorizzazioni per le operazioni di tagging nell'API di quel servizio, come l'operazione Amazon EC2. CreateTags](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateTags.html)
## Autorizzazioni necessarie per utilizzare la console Tag Editor
Per utilizzare la console Tag Editor per elencare e contrassegnare le risorse, è necessario aggiungere le seguenti autorizzazioni alla dichiarazione politica di un utente in IAM. Puoi aggiungere politiche AWS gestite che vengono gestite e mantenute aggiornate da AWS, oppure puoi creare e mantenere una politica personalizzata.
### Utilizzo di politiche AWS gestite per le autorizzazioni di Tag Editor
Tag Editor supporta le seguenti politiche AWS gestite che puoi utilizzare per fornire un set predefinito di autorizzazioni agli utenti. Puoi allegare queste politiche gestite a qualsiasi ruolo, utente o gruppo proprio come faresti con qualsiasi altra politica che crei.
**[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess)**
Questa policy concede al ruolo IAM o all'utente associato l'autorizzazione a richiamare le operazioni di sola lettura sia per Tag Editor che per Tag AWS Resource Groups Editor. Per leggere i tag di una risorsa, devi inoltre disporre delle autorizzazioni per quella risorsa tramite una politica separata. Scopri di più nella seguente Nota **importante**.
**[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess)**
Questa policy concede al ruolo IAM o all'utente associato l'autorizzazione a chiamare qualsiasi operazione Resource Groups e le operazioni di lettura e scrittura dei tag in Tag Editor. Per leggere o scrivere i tag di una risorsa, devi inoltre disporre delle autorizzazioni per quella risorsa tramite una politica separata. Scopri di più nella seguente Nota **importante**.
**Importante**
Le due politiche precedenti concedono l'autorizzazione a richiamare le operazioni di Tag Editor e utilizzare la console Tag Editor. Tuttavia, è necessario disporre anche delle autorizzazioni non solo per richiamare l'operazione, ma anche delle autorizzazioni appropriate per la risorsa specifica di cui si sta tentando di accedere ai tag. Per concedere l'accesso ai tag, devi anche allegare una delle seguenti politiche:
La policy AWS gestita [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess)concede le autorizzazioni per le operazioni di sola lettura per le risorse di ogni servizio. AWS mantiene automaticamente questa politica aggiornata con le nuove non Servizi AWS appena diventano disponibili.
Molti servizi forniscono policy AWS gestite di sola lettura specifiche del servizio che è possibile utilizzare per limitare l'accesso solo alle risorse fornite da tale servizio. Ad esempio, Amazon EC2 fornisce. [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess)
Puoi creare una politica personalizzata che conceda l'accesso solo a specifiche operazioni di sola lettura per i pochi servizi e risorse a cui desideri che i tuoi utenti accedano. Questa politica utilizza una strategia allowlist o una strategia di denylist.
Una strategia di lista consentita sfrutta il fatto che l'accesso viene negato per impostazione predefinita fino a quando non lo si ***consente esplicitamente*** in una politica. Quindi, puoi usare una politica come nell'esempio seguente.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [ "tag:*" ],
"Resource": [
"arn:aws:ec2:us-east-1:444455556666:*",
"arn:aws:s3:::amzn-s3-demo-bucket2"
]
}
]
}
```
In alternativa, puoi utilizzare una strategia di denylist che consenta l'accesso a tutte le risorse tranne quelle che blocchi esplicitamente. Ciò richiede una politica separata che si applica agli utenti pertinenti che consente l'accesso. La seguente politica di esempio nega quindi l'accesso alle risorse specifiche elencate dall'Amazon Resource Name (ARN).
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [ "tag:*" ],
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:instance:*",
"arn:aws:s3:::amzn-s3-demo-bucket3"
]
}
]
}
```
### Aggiungere manualmente le autorizzazioni di Tag Editor
+ `tag:*`(Questa autorizzazione consente tutte le azioni di Tag Editor. Se invece desideri limitare le azioni disponibili per un utente, puoi sostituire l'asterisco con un'[azione specifica](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html) o con un elenco di azioni separate da virgole.)
+ `tag:GetResources`
+ `tag:TagResources`
+ `tag:UntagResources`
+ `tag:getTagKeys`
+ `tag:getTagValues`
+ `resource-explorer:*`
+ `resource-groups:SearchResources`
+ `resource-groups:ListResourceTypes`
**Nota**
L'`resource-groups:SearchResources`autorizzazione consente a Tag Editor di elencare le risorse quando filtri la ricerca utilizzando le chiavi o i valori dei tag.
L'`resource-explorer:ListResources`autorizzazione consente a Tag Editor di elencare le risorse quando si cercano risorse senza definire i tag di ricerca.
## Concessione delle autorizzazioni per l'utilizzo di Tag Editor
Per aggiungere una politica per l'utilizzo AWS Resource Groups di Tag Editor a un ruolo, procedi come segue.
1. Apri la [console IAM alla pagina **Ruoli**](https://console.aws.amazon.com/iamv2/home#/roles).
1. Trova il ruolo a cui vuoi concedere le autorizzazioni di Tag Editor. Scegli il nome del ruolo per aprire la pagina di **riepilogo** del ruolo.
1. Nella scheda **Permissions (Autorizzazioni)**, scegliere **Add permissions (Aggiungi autorizzazioni)**.
1. Scegli **Attach existing policies directly (Collega direttamente le policy esistenti)**.
1. Scegli **Crea policy**.
1. Nella scheda **JSON** incollare l'istruzione della policy seguente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"tag:GetResources",
"tag:TagResources",
"tag:UntagResources",
"tag:getTagKeys",
"tag:getTagValues",
"resource-explorer:*",
"resource-groups:SearchResources",
"resource-groups:ListResourceTypes"
],
"Resource": "*"
}
]
}
```
------
**Nota**
Questa dichiarazione politica di esempio concede le autorizzazioni per eseguire solo azioni di Tag Editor.
1. Scegli **Next: Tags** (Successivo: Tag), quindi **Next: Review** (Successivo: Verifica).
1. Immettere un nome e una descrizione per la nuova politica. Ad esempio, **AWSTaggingAccess**.
1. Scegli **Crea policy**.
Ora che la policy è stata salvata in IAM, puoi collegarla ad altri principi, come ruoli, gruppi o utenti. Per ulteriori informazioni su come aggiungere una policy a un principal, consulta [Aggiungere e rimuovere i permessi di identità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) nella Guida per l'*utente IAM*.
## Autorizzazione e controllo degli accessi basati sui tag
Servizi AWS supporta quanto segue:
+ **Politiche basate sull'azione**: ad esempio, è possibile creare una politica che consenta agli utenti di eseguire `GetTagKeys` le nostre `GetTagValues` operazioni, ma non altre.
+ **Autorizzazioni a livello di risorsa nelle politiche**: molti servizi supportano l'utilizzo [ARNs](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html)per specificare singole risorse nella politica.
+ **Autorizzazione basata sui tag**: molti servizi supportano l'utilizzo di tag di risorse in base a una politica. Ad esempio, è possibile creare una politica che consenta agli utenti l'accesso completo a un gruppo con lo stesso tag degli utenti. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'AWS Identity and Access Management utente*.
+ **Credenziali temporanee**: gli utenti possono assumere un ruolo con una politica che consente le operazioni di Tag Editor.
Tag Editor non utilizza ruoli collegati ai servizi.
*Per ulteriori informazioni su come Tag Editor si integra con AWS Identity and Access Management (IAM), consulta i seguenti argomenti nella Guida per l'AWS Identity and Access Management utente:*
+ [AWS servizi che funzionano con IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html#management_svcs)
+ [Azioni, risorse e chiavi di condizione per Tag Editor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstageditor.html)
+ [Controllo dell'accesso alle AWS risorse mediante politiche](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_controlling.html)