Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Test delle policy IAM con il simulatore di policy IAM
<a name="access_policies_testing-policies"></a>

Per ulteriori informazioni su come è perché utilizzare le policy IAM, consulta [Politiche e autorizzazioni in AWS Identity and Access Management](access_policies.md).

**[Puoi accedere alla console IAM Policy Simulator all'indirizzo:/https://policysim.aws.amazon.com](https://policysim.aws.amazon.com/)**

**Importante**  
I risultati del simulatore di policy possono differire dal tuo ambiente reale AWS . Ti consigliamo di verificare le tue politiche rispetto AWS all'ambiente reale dopo averle testate utilizzando il simulatore di policy per confermare di avere i risultati desiderati. Per ulteriori informazioni, consulta [Come funziona il simulatore di policy IAM](#policies_policy-simulator-how-it-works).

 

Con il simulatore di policy IAM è possibile testare e risolvere i problemi relativi a policy basate sulle identità e limiti delle autorizzazioni IAM. Di seguito sono elencate alcune operazioni comuni che è possibile eseguire con il simulatore di criteri:
+ Esegui il test delle policy basate su identità collegate a utenti IAM, gruppi IAM o ruoli IAM nel tuo Account AWS. Se più di una policy è collegata all'utente, al gruppo di utenti o al ruolo, è possibile testare tutte le policy oppure selezionare le policy individuali da testare. È possibile testare quali azioni sono consentite o negate dalle policy selezionate per le risorse specifiche.
+ Verifica e risolvi i problemi relativi all'effetto dei [limiti delle autorizzazioni](access_policies_boundaries.md) sulle entità IAM. È possibile simulare solo un limite delle autorizzazioni alla volta.
+ Testa gli effetti delle policy basate sulle risorse su utenti IAM che sono collegati a risorse AWS , ad esempio i bucket Amazon S3, le code Amazon SQS, gli argomenti di Amazon SNS o i vault di Amazon Glacier. Per utilizzare una policy basata sulle risorse nel simulatore per gli utenti IAM, è necessario includere la risorsa nella simulazione. È inoltre necessario selezionare la casella di controllo per includere la policy di tale risorsa nella simulazione.
**Nota**  
La simulazione di policy basate sulle risorse non è supportata per i ruoli IAM.
+ Se fai Account AWS parte di un'organizzazione in [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/), puoi testare l'impatto delle politiche di controllo dei servizi (SCPs) sulle tue politiche basate sull'identità.
**Nota**  
Il simulatore di policy non valuta SCPs che esistano condizioni.
+ Esegui il test di nuove policy basate sull'identità che non sono ancora collegate a un utente, a un gruppo di utenti o a un ruolo digitandole o copiandole nel simulatore. Queste vengono utilizzate nella simulazione e non vengono salvate. Non è possibile digitare o copiare una policy basata su risorse nel simulatore.
+ Esegui il test delle policy basate sull'identità con i servizi, le operazioni e le risorse selezionati. Ad esempio, puoi eseguire il test per assicurarti che la policy consenta a un'entità di eseguire le operazioni `ListAllMyBuckets`, `CreateBucket` e `DeleteBucket` nel servizio Amazon S3 su un determinato bucket.
+ Simulare scenari reali fornendo chiavi di contesto, ad esempio un indirizzo IP o una data, inclusi in elementi `Condition` nella policy testate.
**Nota**  
Il simulatore di policy non simula i tag forniti come input se la policy basata sull'identità nella simulazione non ha un elemento `Condition` che controlli esplicitamente i tag.
+ Identifica quali istruzioni specifiche in una policy risultano nel consenso o nella negazione dell'accesso a un'operazione o risorsa specifica. 

**Topics**
+ [Come funziona il simulatore di policy IAM](#policies_policy-simulator-how-it-works)
+ [Autorizzazioni necessarie per l'utilizzo del simulatore di policy IAM](#permissions-required_policy-simulator)
+ [Utilizzo del simulatore di policy IAM (console)](#policies_policy-simulator-using)
+ [Utilizzo del simulatore di policy IAM (e dell'API)AWS CLI AWS](#policies-simulator-using-api)

## Come funziona il simulatore di policy IAM
<a name="policies_policy-simulator-how-it-works"></a>

Il simulatore di policy valuta le dichiarazioni contenute nella policy basata sull'identità e gli input forniti durante la simulazione. I risultati del simulatore di policy possono differire dal tuo ambiente AWS reale. Ti consigliamo di verificare le tue politiche rispetto al tuo AWS ambiente reale dopo averle testate utilizzando il simulatore di policy per confermare di avere i risultati desiderati.

Il simulatore di policy si differenzia dall' AWS ambiente live nei seguenti modi: 
+ Il simulatore di policy non effettua una richiesta di AWS servizio effettiva, quindi puoi testare in sicurezza le richieste che potrebbero apportare modifiche indesiderate al tuo ambiente live. AWS Il simulatore di policy non considera i valori chiave del contesto reale nella produzione.
+ Poiché il simulatore non simula l'esecuzione delle azioni selezionate, non può segnalare alcuna risposta alla richiesta simulata. L'unico risultato restituito è se l'operazione richiesta è consentita o negata.
+ Se si modifica una policy nel simulatore, queste modifiche riguarderanno solo il simulatore. La politica corrispondente nella vostra azienda Account AWS rimane invariata.
+ Non è possibile testare le politiche di controllo del servizio (SCPs) con nessuna condizione.
+ Il simulatore di policy non supporta la simulazione per le politiche di controllo delle risorse ()RCPs.
+ Il simulatore di policy non supporta la simulazione per i ruoli IAM e gli utenti per l'accesso multi-account.

**Nota**  
Il simulatore di policy IAM non determina quali servizi supportano [le chiavi di condizione globali](reference_policies_condition-keys.md) per l'autorizzazione. Ad esempio, il simulatore di policy non identifica che un servizio non supporta [`aws:TagKeys`](reference_policies_condition-keys.md#condition-keys-tagkeys).

## Autorizzazioni necessarie per l'utilizzo del simulatore di policy IAM
<a name="permissions-required_policy-simulator"></a>

È possibile utilizzare la console del simulatore di policy o l'API del simulatore di policy per testare le policy. Per impostazione predefinita, gli utenti della console possono testare le policy che non sono ancora collegate a un utente, a un gruppo di utenti o a un ruolo digitandole o copiandole nella console del simulatore di policy. Queste regole vengono utilizzate nella simulazione e non rivelano informazioni sensibili. Gli utenti API devono avere le autorizzazioni per testare le policy non associate. Puoi consentire agli utenti della console o dell'API di testare le policy collegate a utenti IAM, gruppi IAM o ruoli nell' Account AWS. A tale scopo, è necessario fornire l'autorizzazione per recuperare tali criteri. Per testare policy basate su risorse, gli utenti devono avere l'autorizzazione di recuperare la policy della risorsa.

Per esempi di policy di console o API che consentono a un utente di simulare le policy, consultare [Politiche di esempio: AWS Identity and Access Management (IAM)](access_policies_examples.md#policy_library_IAM).

### Autorizzazioni necessarie per l'utilizzo della console del simulatore di policy
<a name="permissions-required_policy-simulator-console"></a>

Puoi consentire agli utenti di testare le policy collegate a utenti IAM, gruppi IAM o ruoli nel tuo Account AWS. A tale scopo, è necessario fornire agli utenti le autorizzazioni per recuperare tali criteri. Per testare policy basate su risorse, gli utenti devono avere l'autorizzazione di recuperare la policy della risorsa.

Per visualizzare un esempio di policy che consente di utilizzare la console del simulatore di policy per policy associate a un utente, a un gruppo di utenti o a un ruolo, consulta [IAM: accesso alla console del simulatore di policy](reference_policies_examples_iam_policy-sim-console.md). 

Per visualizzare una policy di esempio che consente l'utilizzo della console del simulatore della policy solo agli utenti con un percorso specifico, consultare [IAM: accesso alla console del simulatore di policy in base al percorso utente](reference_policies_examples_iam_policy-sim-path-console.md).

Per creare una policy per consentire l'utilizzo della console del simulatore di policy per solo un tipo di entità, utilizzare le seguenti procedure.

**Per consentire agli utenti della console di simulare le policy per gli utenti**  
Includere le seguenti operazioni nella policy:
+ `iam:GetGroupPolicy`
+ `iam:GetPolicy`
+ `iam:GetPolicyVersion`
+ `iam:GetUser`
+ `iam:GetUserPolicy`
+ `iam:ListAttachedUserPolicies`
+ `iam:ListGroupsForUser`
+ `iam:ListGroupPolicies`
+ `iam:ListUserPolicies`
+ `iam:ListUsers`

**Per consentire agli utenti della console di simulare le policy per i gruppi IAM**  
Includere le seguenti operazioni nella policy:
+ `iam:GetGroup`
+ `iam:GetGroupPolicy`
+ `iam:GetPolicy`
+ `iam:GetPolicyVersion`
+ `iam:ListAttachedGroupPolicies`
+ `iam:ListGroupPolicies`
+ `iam:ListGroups`

**Per consentire agli utenti della console di simulare le policy per i ruoli**  
Includere le seguenti operazioni nella policy:
+ `iam:GetPolicy`
+ `iam:GetPolicyVersion`
+ `iam:GetRole`
+ `iam:GetRolePolicy`
+ `iam:ListAttachedRolePolicies`
+ `iam:ListRolePolicies`
+ `iam:ListRoles`

Per testare policy basate su risorse, gli utenti devono avere l'autorizzazione di recuperare la policy della risorsa.

**Come consentire agli utenti della console di testare le policy basate su risorse in un bucket Amazon S3**  
Includere la seguente operazione nella policy:
+ `s3:GetBucketPolicy`

Ad esempio, la policy seguente utilizza questa operazione per consentire agli utenti della console di simulare una policy basata sulle risorse in un bucket Amazon S3 specifico.

------
#### [ JSON ]

****  

```
{
        "Version":"2012-10-17",		 	 	 
        "Statement": [
          {
            "Effect": "Allow",
            "Action": "s3:GetBucketPolicy",
            "Resource":"arn:aws:s3:::bucket-name/*"
          }
        ]
      }
```

------

### Autorizzazioni necessarie per l'utilizzo dell'API del simulatore di policy
<a name="permissions-required_policy-simulator-api"></a>

L'API del simulatore di politiche [GetContextKeysForCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html)funziona e [SimulateCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html)consente di testare le politiche che non sono ancora associate a un utente, gruppo di utenti o ruolo. Per testare tali criteri, è possibile passare i criteri come stringhe all'API. Queste regole vengono utilizzate nella simulazione e non rivelano informazioni sensibili. Puoi inoltre utilizzare l'API per verificare le policy collegate a utenti IAM, gruppi IAM o ruoli nell' Account AWS. A tale scopo, è necessario fornire agli utenti le autorizzazioni per chiamare [GetContextKeysForPrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html)e. [SimulatePrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html)

Per visualizzare un esempio di policy che consente di utilizzare l'API Policy Simulator per le policy allegate e non collegate nella versione corrente Account AWS, consulta. [IAM: accesso all'API del simulatore di policy](reference_policies_examples_iam_policy-sim.md) 

Per creare una policy che consente l'utilizzo dell'API del simulatore di policy per solo un tipo di policy, utilizzare le seguenti procedure.

**Per consentire agli utenti di un'API di simulare le policy passate direttamente all'API come stringhe**  
Includere le seguenti operazioni nella policy:
+ `iam:GetContextKeysForCustomPolicy`
+ `iam:SimulateCustomPolicy`

**Per consentire agli utenti di un'API di simulare le policy collegate a utenti IAM, gruppi IAM, ruoli o risorse**  
Includere le seguenti operazioni nella policy:
+ `iam:GetContextKeysForPrincipalPolicy`
+ `iam:SimulatePrincipalPolicy`

Ad esempio, per offrire a un utente di nome Bob l'autorizzazione a simulare una policy che è assegnata a un utente di nome Alice, fornire accesso a Bob alla seguente risorsa: `arn:aws:iam::777788889999:user/alice`. 

Per visualizzare una policy di esempio che consente l'utilizzo dell'API del simulatore della policy solo agli utenti con un percorso specifico, consultare [IAM: accesso all'API simulatore di policy basata sul percorso degli utenti](reference_policies_examples_iam_policy-sim-path.md).

## Utilizzo del simulatore di policy IAM (console)
<a name="policies_policy-simulator-using"></a>

Per impostazione predefinita, gli utenti possono testare le policy che non sono ancora collegate a un utente, a un gruppo di utenti o a un ruolo digitandole o copiandole nella console del simulatore di policy. Queste regole vengono utilizzate nella simulazione e non rivelano informazioni sensibili. 

**Come eseguire il test di una policy non collegata a un utente, un gruppo di utenti o un ruolo (console)**

1. [Apri la console del simulatore di policy IAM all'indirizzo:/. https://policysim.aws.amazon.com](https://policysim.aws.amazon.com/)

1. Nel menu **Mode: (Modalità:)** nella parte superiore della pagina, selezionare **New Policy (Nuova policy)**.

1. In **Policy Sandbox (Sandbox policy)**, selezionare **Create New Policy (Crea nuova policy)**.

1. Digita o copia una policy nel simulatore e utilizza il simulatore come descritto di seguito.

Dopo avere ottenuto l'autorizzazione per utilizzare la console del simulatore di policy IAM, è possibile utilizzare il simulatore per testare un utente IAM, un gruppo di utenti, un ruolo o una policy di risorsa.

**Come eseguire il test di una policy collegata a un utente, un gruppo di utenti o un ruolo (console)**

1. [Apri la console del simulatore di policy IAM all'indirizzo https://policysim.aws.amazon.com/.](https://policysim.aws.amazon.com/) 
**Nota**  
Per accedere al simulatore di policy come utente IAM, utilizza l'URL di accesso univoco per accedere alla Console di gestione AWS. Visita quindi [https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/). Per ulteriori informazioni sull'accesso come utente IAM, consulta [In che modo gli utenti IAM accedono a AWS](id_users_sign-in.md).

   Il simulatore si apre nella modalità **Existing Policies** (Policy esistenti) ed elenca gli utenti IAM nell'account in **Users, Groups, and Roles** (Utenti, gruppi e ruoli).

1. <a name="polsimstep-selectid"></a>Selezionare l'opzione opportuna per la propria attività:  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/access_policies_testing-policies.html)
**Suggerimento**  
Per testare una policy collegata al gruppo, puoi avviare il simulatore di policy IAM direttamente dalla [console IAM](https://console.aws.amazon.com/iam/): nel pannello di navigazione, scegli **Gruppi**. Selezionare il nome del gruppo sul quale si desidera testare una policy e selezionare la scheda **Permissions (Autorizzazioni)**. Scegli **Simula**.  
Per testare una policy gestita dal cliente collegata a un utente: nel riquadro di navigazione, selezionare **Users (Utenti)**. Selezionare il nome dell'utente sul quale si desidera testare la policy. Selezionare la scheda **Permissions (Autorizzazioni)** ed espandere la policy che si desidera testare. Più a destra, selezionare **Simulate policy (Simula policy)**. **Simulatore di policy IAM** si apre in una nuova finestra e viene visualizzata la policy selezionata nel riquadro **Policy**.

1. (Facoltativo) Se il tuo account è membro di un'organizzazione in [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/), seleziona la casella di controllo accanto **AWS Organizations SCPs**a per includerlo SCPs nella valutazione simulata. SCPssono politiche JSON che specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa (OU). L'SCP limita le autorizzazioni per le entità negli account membri. Se una SCP blocca un servizio o un'operazione, nessuna entità in tale account può accedere a quel servizio né eseguire questa operazione. Ciò è valido anche se un amministratore esplicitamente concede le autorizzazioni a quell'operazione o servizio tramite una policy IAM o delle risorse. 

   Se l'account non è un membro di un'organizzazione, la casella di controllo non viene visualizzata.

1. (Facoltativo) Puoi eseguire il test di una policy impostata come [limite delle autorizzazioni](access_policies_boundaries.md) per un'entità IAM (utente o ruolo), ma non per i gruppi IAM. Se un criterio limite delle autorizzazioni è attualmente impostato per l'entità, verrà visualizzato nel riquadro **Criteri** . È possibile impostare solo un limite delle autorizzazioni per un'entità. Per testare un limite di autorizzazioni diverso, è possibile creare un limite di autorizzazioni personalizzato. A tale scopo, scegliere **Crea nuovo criterio**. Viene aperto un nuovo riquadro **Criteri** . Nel menu, scegliere **Criteri di limite autorizzazioni IAM personalizzate**. Immettere un nome per il nuovo criterio e digitare o copiare un criterio nello spazio sottostante. Scegliere **Applica** per salvare il criterio. Quindi, scegliere **Indietro** per tornare al riquadro **Criteri** originale. Seleziona quindi la casella di controllo accanto al limite delle autorizzazioni che desideri utilizzare per la simulazione. 

1. <a name="polsimstep-polsubset"></a>(Facoltativo) Puoi eseguire il test solo di un sottoinsieme di policy collegate a un utente, un gruppo di utenti o un ruolo. A tale scopo, nel riquadro **Policy** deseleziona la casella di controllo accanto a ciascuna policy che desideri escludere.

1. <a name="polsimstep-service"></a>In **Policy Simulator (Simulatore di policy)**, selezionare **Select service (Seleziona servizio)** e scegliere il servizio da testare. Selezionare **Select actions (Seleziona operazioni)** e scegliere una o più operazioni da testare. Sebbene i menu mostrino le opzioni disponibili per un solo servizio alla volta, tutti i servizi e le operazioni selezionati vengono visualizzati in **Action Settings and Results (Impostazioni e risultati operazione)**. 

1. (Facoltativo) Se una delle policy che scegli in [Step 2](#polsimstep-selectid) e [Step 5](#polsimstep-polsubset) include condizioni con le [*chiavi della condizione globale di AWS*](reference_policies_condition-keys.md), devi fornire i valori per tali chiavi. È possibile eseguire questa operazione espandendo la sezione **Global Settings (Impostazioni globali)** e digitando i valori per i nomi chiave visualizzati.
**avvertimento**  
Se si lascia il valore di una condizione chiave vuoto, tale chiave viene ignorata durante la simulazione. In alcuni casi, questo genera un errore e non è possibile eseguire la simulazione. In altri casi, la simulazione viene eseguita, ma i risultati possono non essere affidabili. In questi casi, la simulazione non corrisponde alle condizioni reali che includono un valore per la chiave o la variabile della condizione.

1. (Facoltativo) Ogni operazione selezionata viene mostrata nell'elenco **Action Settings and Results (Impostazioni e risultati operazione)** con **Not simulated (Non simulata)** nella colonna **Permission (Autorizzazione)** finché effettivamente la simulazione non viene eseguita. Prima di eseguire la simulazione, è possibile configurare ciascuna operazione con una risorsa. Per configurare le operazioni individuali per un determinato scenario, selezionare la freccia per espandere la riga dell'operazione. Se l'operazione supporta le autorizzazioni a livello di risorsa, è possibile digitare l'[Amazon Resource Name (ARN)](reference_identifiers.md#identifiers-arns) della risorsa specifica di cui si desidera testare l'accesso. Come impostazione predefinita, ogni risorsa è impostata su un carattere jolly (\$1). È anche possibile specificare un valore per qualsiasi [chiave di contesto della condizione](reference_policies_actions-resources-contextkeys.html). Come indicato in precedenza, le chiavi con valori vuoti vengono ignorate, ciò può provocare errori di simulazione o risultati inaffidabili.

   1. Selezionare la freccia accanto al nome dell'operazione per espandere ogni riga e configurare qualsiasi informazioni aggiuntive necessarie per simulare accuratamente l'operazione nel proprio scenario. Se l'operazione richiede autorizzazioni a livello di risorsa, è possibile digitare l'[Amazon Resource Name (ARN)](reference_identifiers.md#identifiers-arns) della risorsa specifica alla quale si desidera simulare l'accesso. Come impostazione predefinita, ogni risorsa è impostata su un carattere jolly (\$1).

   1. Se l'operazione supporta autorizzazioni a livello di risorsa, ma non le richiede, è possibile selezionare **Add Resource (Aggiungi risorsa)** per selezionare il tipo di risorsa che si desidera aggiungere alla simulazione. 

   1. Se nessuna delle policy selezionate include un elemento`Condition` che fa riferimento a una chiave contestuale per il servizio di questa operazione, tale nome della chiave è visualizzato sotto l'operazione. È possibile specificare il valore da utilizzare durante la simulazione di quell'operazione per la risorsa specificata.
<a name="resource-scenarios"></a>
**Operazioni che richiedono diversi gruppi di tipi di risorse**  
Alcune operazioni richiedono diversi tipi di risorse in circostanze diverse. Ogni gruppo di tipi di risorse è associato a uno scenario. Se uno di questi si applica alla propria simulazione, selezionarlo e il simulatore richiederà i tipi di risorse appropriate per tale scenario. L'elenco seguente mostra ciascuna delle opzioni di scenari supportate e le risorse che è necessario definire per eseguire la simulazione.

   Ognuno dei seguenti scenari di Amazon EC2 richiede che vengano specificate le risorse `instance`, `image` e `security-group`. Se il proprio scenario include un volume EBS, è necessario specificare quel `volume` come una risorsa. Se lo scenario di Amazon EC2 include un virtual private cloud (VPC), è necessario fornire la risorsa `network-interface`. Se include una sottorete IP, è necessario specificare la risorsa `subnet`. Per ulteriori informazioni sulle opzioni dello scenario di Amazon EC2, consulta [Piattaforme supportate](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-supported-platforms.html)nella *Guida per l'utente di Amazon EC2*.
   + **EC2-VPC- InstanceStore**

     istanza, immagine, gruppo di sicurezza, interfaccia di rete
   + **EC2-VPC- -Sottorete InstanceStore**

     istanza, immagine, gruppo di sicurezza, interfaccia di rete, sottorete
   + **EC2-VPC-EBS**

     istanza, immagine, gruppo di sicurezza, interfaccia di rete, volume
   + **EC2-VPC-EBS-Subnet**

     istanza, immagine, gruppo di sicurezza, interfaccia di rete, sottorete, volume

1. <a name="polsimstep-respol"></a>(Facoltativo) Se si desidera includere una policy basate su risorse nella simulazione, è necessario selezionare le operazioni che si desidera simulare su quella risorsa [Step 6](#polsimstep-service). Espandere le righe per le operazioni selezionate e digitare il nome ARN della risorsa con una policy che si desidera simulare. Selezionare **Include Resource Policy (Includi policy delle risorse)** accanto alla casella di testo **ARN**. Il simulatore di policy IAM attualmente supporta policy basate su risorse solo per i seguenti servizi: Amazon S3 (solo policy basate sulle risorse; ACLs attualmente non sono supportate), Amazon SQS, Amazon SNS e vault Amazon Glacier sbloccati (gli archivi bloccati non sono attualmente supportati).

1. Selezionare **Run Simulation (Esegui simulazione)** nell'angolo in alto a destra.

   La colonna **Permission (Autorizzazione)** in ogni riga di **Action Settings e Results (Impostazioni e risultati operazione)** visualizza il risultato di simulazione di tale operazione nella risorsa specificata.

1. Per vedere quale dichiarazione di una policy ha esplicitamente consentito o negato un'azione, scegli il link delle **affermazioni *N* corrispondenti** nella colonna **Autorizzazioni** per espandere la riga. Selezionare il collegamento **Show statement (Mostra istruzione)**. Il riquadro **Policies (Policy)** mostra la policy rilevante con l'istruzione che ha interessato i risultati della simulazione evidenziata.
**Nota**  
Se un'operazione è *implicitamente* rifiutata: ovvero, se l'operazione è rifiutata solo perché non è consentito in modo esplicito; le opzioni **Elenco** e **Mostra istruzione** non vengono visualizzate.

### Risoluzione dei problemi dei messaggi della console del simulatore di policy IAM
<a name="iam-policy-simulator-messages"></a>

La tabella seguente elenca i messaggi informativi e di avviso che possono essere restituiti quando si utilizza il simulatore delle policy IAM. La tabella fornisce inoltre una procedura per risolverli. 


****  

| Messaggio | Procedura per la risoluzione | 
| --- | --- | 
| Questa policy è stata modificata. Le modifiche non saranno salvate al tuo account.  |   **Nessuna operazione necessaria.**  Questo messaggio è informativo. Se modifichi una policy esistente nel simulatore di policy IAM, tale modifica non influisce sull' Account AWS. Il simulatore di policy consente di modificare le policy solo a scopo di test.  | 
| Impossibile ottenere le policy delle risorse. Motivo: detailed error message | Il simulatore di policy non è in grado di accedere a una policy basata sulle risorse necessaria. Verificare che il nome ARN specificato della risorsa sia corretto e che l'utente che esegue la simulazione abbia l'autorizzazione di leggere la policy della risorsa. | 
| Una o più policy richiedono valori nelle impostazioni della simulazione. La simulazione potrebbe non riuscire senza questi valori.  |  Questo messaggio viene visualizzato se la policy che si sta testando contiene variabili o chiavi di condizione, ma non sono stati forniti valori per queste chiavi o variabili in **Simulation Settings (Impostazioni simulazione)**. Per chiudere questo messaggio, selezionare **Impostazioni simulazione** e digitare un valore per ogni variabile o chiave della condizione.  | 
| Sono state modificate delle policy. Questi risultati non sono più validi.  |  Questo messaggio viene visualizzato se si modifica la policy selezionata mentre i risultati sono visualizzati nel riquadro **Results (Risultati)**. I risultati illustrati nel riquadro **Results (Risultati)** non sono aggiornati dinamicamente. Per chiudere questo messaggio, selezionare nuovamente **Run Simulation (Esegui simulazione)** per visualizzare i nuovi risultati di simulazione in base alle modifiche apportate nel riquadro **Policies (Policy)**.  | 
| La risorsa digitata per questa simulazione non corrisponde a questo servizio.  |  Questo messaggio viene visualizzato se è stato digitato un Amazon Resource Name (ARN) nel riquadro **Simulation Settings (Impostazioni simulazione)** che non corrisponde al servizio scelto per la simulazione corrente. Ad esempio, questo messaggio viene visualizzato se viene specificato un ARN per una risorsa Amazon DynamoDB, ma si seleziona Amazon Redshift come servizio da simulare. Per chiudere questo messaggio, procedere in uno dei seguenti modi:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/access_policies_testing-policies.html)  | 
| Questa azione appartiene a un servizio che supporta meccanismi speciali di controllo degli accessi oltre a politiche basate sulle risorse, come le politiche di blocco del vault di Amazon S3 o ACLs Amazon Glacier. Il simulatore di policy non supporta questi meccanismi, perciò i risultati possono variare in base all'ambiente di produzione.  |   **Nessuna operazione necessaria.**  Questo messaggio è informativo. Nella versione corrente, il simulatore di policy valuta le policy collegate a utenti e gruppi IAM; è inoltre in grado di valutare le policy basate su risorse per Amazon S3, Amazon SQS, Amazon SNS e Amazon Glacier. Il simulatore di policy non supporta tutti i meccanismi di controllo degli accessi supportati da altri servizi AWS .  | 
| DynamoDB FGAC attualmente non è supportata.  |   **Nessuna operazione necessaria.**  Questo messaggio informativo si riferisce a un *controllo granulare degli accessi*. Il controllo granulare degli accessi è la possibilità di utilizzare le condizioni delle policy IAM per determinare chi può accedere a singoli elementi di dati e attributi nelle tabelle e negli indici DynamoDB. Si riferisce anche alle azioni che possono essere eseguite su queste tabelle e indici. La versione corrente del simulatore di policy IAM non supporta questo tipo di condizione di policy. Per ulteriori informazioni sul controllo granulare degli accessi a DynamoDB, consulta [Controllo granulare degli accessi per DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/FGAC_DDB.html).  | 
| Si dispone di policy che non rispettano la sintassi della policy. È possibile utilizzare il validatore della policy per rivedere gli aggiornamenti consigliati per le policy.  |  Questo messaggio viene visualizzato nella parte superiore dell'elenco della policy se si dispone di policy che non sono conformi alla sintassi delle policy IAM. Per simulare queste policy, consultare le opzioni di convalida delle policy all'indirizzo [Convalida delle policy IAM](access_policies_policy-validator.md) per identificare e correggere le policy.  | 
|  Questa policy deve essere aggiornata per essere conforme alle regole più recenti della sintassi della policy.  |  Questo messaggio viene visualizzato se si dispone di policy che non sono conformi alla grammatica della policy IAM. Per simulare queste policy, consultare le opzioni di convalida delle policy all'indirizzo [Convalida delle policy IAM](access_policies_policy-validator.md) per identificare e correggere le policy.  | 

## Utilizzo del simulatore di policy IAM (e dell'API)AWS CLI AWS
<a name="policies-simulator-using-api"></a>

I comandi del simulatore di policy richiedono solitamente il richiamo delle operazioni API per eseguire due operazioni:

1. Valutare le policy e restituire l'elenco delle chiavi di contesto alle quali fanno riferimento. È necessario sapere a quali chiavi contestuali viene fatto riferimento in modo da potervi fornire valori nella fase successiva.

1. Simulare le policy, fornendo un elenco di operazioni, risorse e chiavi di contesto utilizzate durante la simulazione.

Per motivi di sicurezza, le operazioni API sono state suddivise in due gruppi:
+ Le operazioni API che simulano solo le policy che vengono passate direttamente all'API come stringhe. Questo set include [GetContextKeysForCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html)e. [SimulateCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html)
+ Le operazioni API che simulano le policy che sono collegate a un utente, gruppo di utenti, ruolo o risorsa IAM specifici. Poiché queste operazioni API possono rivelare i dettagli delle autorizzazioni assegnate ad altre entità IAM, è consigliabile limitare l'accesso a queste operazioni API. Questo set include [GetContextKeysForPrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html)e [SimulatePrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html). Per ulteriori informazioni su come limitare l'accesso alle operazioni API;, consultare [Politiche di esempio: AWS Identity and Access Management (IAM)](access_policies_examples.md#policy_library_IAM).

In entrambi i casi, le operazioni API simulano l'effetto di una o più policy su un elenco di operazioni e risorse. Ogni operazione è associata a ciascuna risorsa e la simulazione determina se le policy permettono o negano l'operazione per quella risorsa. È anche possibile fornire i valori per chiavi di contesto alle quali fanno riferimento le policy. È possibile ottenere l'elenco delle chiavi di contesto alle quali fanno riferimento le policy chiamando prima [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html) o [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html). Se non si fornisce un valore per una chiave di contesto, la simulazione viene ancora eseguita. Tuttavia, i risultati potrebbero non essere affidabili, perché il simulatore non può includere quella chiave di contesto nella valutazione.

**Per ottenere l'elenco delle chiavi contestuali (AWS CLI, AWS API)**  
Utilizzare quanto segue per valutare un elenco di policy e restituire un elenco di chiavi di contesto utilizzate nella policy.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-custom-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-custom-policy.html) e [https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-principal-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-principal-policy.html)
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html)e [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html)

**Per simulare le politiche IAM (AWS CLI, AWS API)**  
Utilizza quanto segue per simulare le policy IAM per determinare le autorizzazioni valide di un utente.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-custom-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-custom-policy.html) e [https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-principal-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-principal-policy.html)
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html)e [https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html)