Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione dei ruoli di impersonificazione
Con i ruoli di impersonificazione, gli amministratori configurano l'accesso programmatico alle cassette postali degli utenti senza inserire le credenziali dell'utente. I servizi e gli strumenti possono assumere un ruolo di impersonificazione per eseguire azioni nelle caselle di posta degli utenti. L'impersonificazione è supportata solo con il protocollo EWS.
## Panoramica dei ruoli di impersonificazione
Per consentire l'impersonificazione, gli amministratori devono creare un ruolo di impersonificazione con le seguenti proprietà:
+ **Tipo di ruolo****: scegli Accesso **completo** o Sola lettura.** Il tipo di ruolo limita il tipo di operazioni che un ruolo può eseguire.
+ **Regole**: un elenco di regole che definiscono gli utenti che il ruolo di impersonificazione può impersonare.
Amazon WorkMail valuta le regole in base alle seguenti condizioni:
+ Se una delle regole **DENY** corrisponde, la policy nega l'impersonificazione. **Le regole **DENY** hanno la precedenza su qualsiasi regola ALLOW.**
+ Se almeno una regola **ALLOW** corrisponde e nessuna regola **DENY** corrisponde, la politica consente l'impersonificazione.
+ Se non si applica alcuna regola, l'impersonificazione viene negata.
**Nota**
Per consentire l'impersonificazione per tutti gli utenti di WorkMail un'organizzazione Amazon, crea una regola con l'effetto **ALLOW** e senza condizioni.
**avvertimento**
Devi creare regole per consentire a un ruolo di impersonificazione di impersonare un utente. Se non si specificano regole, un ruolo di impersonificazione non può assumere i diritti di accesso di un utente.
Dopo aver creato il ruolo di impersonificazione, puoi utilizzarlo per accedere alle cassette postali degli utenti. Per ulteriori informazioni, consulta [Utilizzo dei ruoli di impersonificazione](using-impersonation-roles.md).
## Considerazioni relative alla sicurezza
L'uso di ruoli di impersonificazione crea potenziali problemi di sicurezza all'interno della tua WorkMail organizzazione Amazon e. Account AWS Ecco alcuni dei potenziali problemi da considerare quando si crea un ruolo di impersonificazione:
+ **Autorizzazioni transitive**: se l'utente A ha accesso alla cassetta postale dell'utente B e un ruolo di impersonificazione può impersonare l'utente A, questo ruolo di impersonificazione può impersonare le autorizzazioni di accesso dell'utente A e accedere alla cassetta postale B dell'utente.
+ Controllo degli accessi: è possibile utilizzare le regole di **controllo degli accessi** per limitare l'accesso al ruolo di impersonificazione. Per ulteriori informazioni, consulta [Utilizzo delle regole di controllo degli accessi](access-rules.md).
+ **Policy IAM**: puoi assegnare un'`AssumeImpersonationRole`azione a una particolare WorkMail organizzazione Amazon e a un ruolo di impersonificazione utilizzando la condizione. `workmail:ImpersonationRoleId` Per vedere un esempio di policy IAM, consulta. [Come WorkMail funziona Amazon con IAM](security_iam_service-with-iam.md)
## Creazione di ruoli di imitazione
Puoi creare ruoli di impersonificazione dalla console Amazon WorkMail .
**Per creare un ruolo di imitazione**
1. Apri la WorkMail console Amazon all'indirizzo [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Se necessario, modificare la regione . Dalla barra di navigazione, scegli la regione che soddisfa le tue esigenze. Per ulteriori informazioni, consulta la sezione relativa a [regioni ed endpoint ](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) nella *Riferimenti generali di Amazon Web Services*.
1. Nel riquadro di navigazione, scegli **Organizations**, quindi scegli il nome dell'organizzazione.
1. Scegli **Ruoli di impersonificazione**, quindi scegli **Crea** ruolo.
1. Viene visualizzata la **finestra di dialogo Crea ruolo di impersonificazione**. In **Ruolo**, inserisci le seguenti informazioni:
+ **Nome**: inserisci un nome univoco per il ruolo di impersonificazione.
+ (Facoltativo) **Descrizione**: inserisci una descrizione per il ruolo di impersonificazione.
+ **Tipo di ruolo**: scegli **Sola lettura** o Accesso **completo**.
1. In **Regole**, scegli **Aggiungi regola**.
1. Viene visualizzata la finestra di dialogo **Aggiungi regola**. Immetti le seguenti informazioni:
+ **Nome**: immettere un nome univoco per la regola.
+ (Facoltativo) **Descrizione**: immettere una descrizione per la regola.
+ In **Effetto**, scegli **Consenti** o **Nega.** Ciò consente o nega l'accesso in base alle condizioni selezionate nel passaggio successivo.
+ (Facoltativo) In base a **questa regola:**, scegli **Corrisponde alle richieste che impersonano gli utenti selezionati per includere utenti** specifici. Scegli **Corrisponde alle richieste che impersonano utenti diversi dagli utenti selezionati per aggiungere utenti** diversi dagli utenti selezionati.
1. Scegli **Aggiungi regola**.
**Nota**
Le regole vengono salvate solo quando si salva il ruolo corrispondente.
1. Scegliere **Crea ruolo**.
## Modifica dei ruoli di impersonificazione
Puoi modificare i ruoli di impersonificazione dalla console Amazon WorkMail .
**Per modificare un ruolo di impersonificazione**
1. Apri la WorkMail console Amazon all'indirizzo [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Se necessario, modificare la regione . Dalla barra di navigazione, scegli la regione che soddisfa le tue esigenze. Per ulteriori informazioni, consulta la sezione relativa a [regioni ed endpoint ](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) nella *Riferimenti generali di Amazon Web Services*.
1. Nel riquadro di navigazione, scegli **Organizations**, quindi scegli il nome dell'organizzazione.
1. Scegli Ruoli **di impersonificazione.**
1. **Seleziona il nome del ruolo di impersonificazione che desideri modificare, quindi scegli Modifica.**
1. **Viene visualizzata la finestra di dialogo Modifica ruolo di rappresentazione**. In **Ruolo**, inserisci le seguenti informazioni:
+ **Nome**: inserisci un nome univoco per il ruolo di impersonificazione.
+ (Facoltativo) **Descrizione**: inserisci una descrizione per il ruolo di impersonificazione.
+ **Tipo di ruolo****: per concedere al ruolo di impersonificazione l'accesso in sola lettura alla cassetta postale di un utente, scegli Sola lettura.** **Per concedere al ruolo di impersonificazione i diritti di lettura e modifica degli elementi nella cassetta postale di un utente, scegli Accesso completo.**
1. **In **Regole**, seleziona la regola che desideri modificare e scegli Modifica.**
1. Viene visualizzata la finestra di dialogo **Modifica regola**. Immetti le seguenti informazioni:
+ **Nome**: modifica il nome della regola.
+ (Facoltativo) **Descrizione**: aggiorna o inserisci una descrizione per la regola.
+ In **Effetto**, scegli **Consenti** per consentire l'accesso quando vengono soddisfatte le condizioni impostate nelle regole. Per negare l'accesso, scegli **Nega**.
+ (Facoltativo) In base a **questa regola:**, scegli **Corrisponde alle richieste che si spacciano per gli utenti selezionati per includere utenti specifici**. Scegli **Corrisponde alle richieste che impersonano utenti diversi dagli utenti selezionati per aggiungere utenti** diversi dagli utenti selezionati.
1. Scegli **Save** (Salva).
1. Scegli **Save changes** (Salva modifiche).
**Importante**
Quando modifichi una regola di impersonificazione, l'aggiornamento delle cassette postali interessate può richiedere fino a cinque minuti. Durante il processo di aggiornamento delle regole, è possibile che si verifichino comportamenti incoerenti nella cassetta postale. Tuttavia, se provi un ruolo, Amazon WorkMail risponde come previsto in base alla regola aggiornata. Per ulteriori informazioni, consulta [Test dei ruoli di impersonificazione](#testing-impersonation-roles).
## Test dei ruoli di impersonificazione
Puoi testare un ruolo di impersonificazione dalla console Amazon WorkMail .
**Per testare un ruolo di impersonificazione**
1. Apri la WorkMail console Amazon all'indirizzo [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Se necessario, modificare la regione . Dalla barra di navigazione, scegli la regione che soddisfa le tue esigenze. Per ulteriori informazioni, consulta la sezione relativa a [regioni ed endpoint ](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) nella *Riferimenti generali di Amazon Web Services*.
1. Nel riquadro di navigazione, scegli **Organizations**, quindi scegli il nome dell'organizzazione.
1. Scegli Ruoli **di impersonificazione.**
1. Seleziona il ruolo di impersonificazione che desideri testare.
1. Scegli il ruolo di **test**.
1. Viene visualizzata la finestra di dialogo **Test impersonation role**. In **Utente Target**, seleziona l'utente per il quale desideri testare l'accesso all'impersonificazione.
1. Scegli **Test (Esegui test)**.
## Eliminazione dei ruoli di impersonificazione
Puoi eliminare un ruolo di impersonificazione dalla console Amazon WorkMail .
**Per eliminare un ruolo di impersonificazione**
1. Apri la WorkMail console Amazon all'indirizzo [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Se necessario, modificare la regione . Dalla barra di navigazione, scegli la regione che soddisfa le tue esigenze. Per ulteriori informazioni, consulta la sezione relativa a [regioni ed endpoint ](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) nella *Riferimenti generali di Amazon Web Services*.
1. Nel riquadro di navigazione, scegli **Organizations**, quindi scegli il nome dell'organizzazione.
1. Scegli Ruoli **di impersonificazione.**
1. Seleziona il nome del ruolo di impersonificazione che desideri eliminare.
1. Scegliere **Delete** (Elimina).
1. Viene visualizzata la finestra di dialogo **Elimina ruolo**. Per confermare l'eliminazione, inserite il nome del ruolo nella finestra di dialogo e scegliete **Elimina**.