Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Valutazione RCP
<a name="orgs_manage_policies_rcps_evaluation"></a>

**Nota**  
Le informazioni contenute in questa sezione ***non*** si applicano ai tipi di policy di gestione, incluse le politiche di backup, le politiche di tag, le politiche delle applicazioni di chat o le politiche di opt-out dei servizi AI. Per ulteriori informazioni, consulta [Comprendere l'ereditarietà delle policy di gestione](orgs_manage_policies_inheritance_mgmt.md).

Poiché puoi allegare più politiche di controllo delle risorse (RCPs) a diversi livelli AWS Organizations, comprendere come RCPs vengono valutate può aiutarti a scrivere RCPs il risultato giusto.

## Strategia di utilizzo RCPs
<a name="how_rcps_deny"></a>

La `RCPFullAWSAccess` politica è una politica AWS gestita. Viene automaticamente collegata alla radice dell'organizzazione, a ogni unità organizzativa e a ogni account dell'organizzazione, quando si abilitano le politiche di controllo delle risorse (RCPs). Non è possibile scollegare questa politica. Questo RCP predefinito consente a tutti i principali e alle azioni di passare attraverso la valutazione RCP, il che significa che fino a quando non inizi a creare e allegare RCPs, tutte le autorizzazioni IAM esistenti continuano a funzionare come facevano. Questa policy AWS gestita non concede l'accesso.

È possibile utilizzare le `Deny` istruzioni per bloccare l'accesso alle risorse dell'organizzazione. Affinché venga **negata** l'autorizzazione per una risorsa in un account specifico, **qualsiasi RCP** dalla radice a ciascuna unità organizzativa nel percorso diretto verso l'account (incluso l'account di destinazione stesso) può negare tale autorizzazione.

`Deny`le dichiarazioni sono uno strumento efficace per implementare restrizioni che dovrebbero valere per una parte più ampia dell'organizzazione. Ad esempio, è possibile allegare una politica per impedire che identità esterne all'organizzazione accedano alle risorse a livello principale. Tale politica sarà valida per tutti gli account dell'organizzazione. AWS consiglia vivamente di non RCPs collegarsi alla radice dell'organizzazione senza aver testato a fondo l'impatto che la politica ha sulle risorse dei propri account. Per ulteriori informazioni, consulta [Effetti dei test di RCPs](orgs_manage_policies_rcps.md#rcp-warning-testing-effect).

Nella Figura 1, all'unità organizzativa di produzione è allegato un RCP con una `Deny` dichiarazione esplicita specificata per un determinato servizio. Di conseguenza, sia all'Account A che all'Account B verrà negato l'accesso al servizio in quanto una politica di rifiuto associata a qualsiasi livello dell'organizzazione viene valutata per tutti gli account OUs e i membri sottostanti.

![Esempio di struttura organizzativa con una dichiarazione di rifiuto allegata a Production OU e relativo impatto sull'Account A e sull'Account B](http://docs.aws.amazon.com/it_it/organizations/latest/userguide/images/rcp_deny_1.png)


*Figura 1: Esempio di struttura organizzativa con una `Deny` dichiarazione allegata a Production OU e relativo impatto sull'Account A e sull'Account B*