Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione dei ruoli IAM per accedere ai AWS servizi
Per consentire al cluster Aurora DB di accedere a un altro AWS servizio, procedi come segue:
1. Crea una policy IAM che conceda l'autorizzazione al AWS servizio. Per ulteriori informazioni, consulta i seguenti argomenti.
+ [Creazione di una policy IAM per l'accesso alle risorse Amazon S3](AuroraMySQL.Integrating.Authorizing.IAM.S3CreatePolicy.md)
+ [Creazione di una policy IAM per accedere alle AWS Lambda risorse](AuroraMySQL.Integrating.Authorizing.IAM.LambdaCreatePolicy.md)
+ [Creazione di una policy IAM per accedere alle CloudWatch risorse Logs](AuroraMySQL.Integrating.Authorizing.IAM.CWCreatePolicy.md)
+ [Creazione di una policy IAM per accedere alle AWS KMS risorse](AuroraMySQL.Integrating.Authorizing.IAM.KMSCreatePolicy.md)
1. Crea un ruolo IAM e collega la policy che hai creato. Per ulteriori informazioni, consulta [Creazione di un ruolo IAM per consentire ad Amazon Aurora di accedere ai servizi AWS](AuroraMySQL.Integrating.Authorizing.IAM.CreateRole.md).
1. Associa il ruolo IAM al cluster DB Aurora. Per ulteriori informazioni, consulta [Associazione di un ruolo IAM a un cluster DB Amazon Aurora MySQL](AuroraMySQL.Integrating.Authorizing.IAM.AddRoleToDBCluster.md).
# Creazione di una policy IAM per l'accesso alle risorse Amazon S3
Aurora può accedere alle risorse di Amazon S3 per caricare i dati o per salvare i dati da un cluster DB Aurora. Tuttavia, è necessario prima creare una policy IAM che assegni le autorizzazioni del bucket e dell'oggetto che rendono possibile l'accesso di Aurora ad Amazon S3.
La tabella seguente indica le funzionalità di Aurora che possono accedere a un bucket Amazon S3 per tuo conto e le autorizzazioni minime del bucket e dell'oggetto richieste da ciascuna funzionalità.
| Caratteristica | Autorizzazioni del bucket | Autorizzazioni dell'oggetto |
| --- | --- | --- |
| `LOAD DATA FROM S3` | `ListBucket` | `GetObject` `GetObjectVersion` |
| LOAD XML FROM S3 | `ListBucket` | `GetObject` `GetObjectVersion` |
| `SELECT INTO OUTFILE S3` | `ListBucket` | `AbortMultipartUpload` `DeleteObject` `GetObject` `ListMultipartUploadParts` `PutObject` |
La seguente policy aggiunge le autorizzazioni che Amazon S3 potrebbe richiedere da Aurora per accedere al bucket per tuo conto.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAuroraToExampleBucket",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:AbortMultipartUpload",
"s3:ListBucket",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::amzn-s3-demo-bucket"
]
}
]
}
```
------
**Nota**
Assicurati di includere entrambe le voci per il valore `Resource`. Aurora ha bisogno delle autorizzazioni sia sul bucket stesso che su tutti gli oggetti all'interno del bucket.
In base al caso d'uso, potrebbe non essere necessario aggiungere tutte le autorizzazioni presenti nella policy di esempio. Potrebbero inoltre essere richieste altre autorizzazioni. Ad esempio, se il bucket Amazon S3 è crittografato, occorre aggiungere autorizzazioni `kms:Decrypt`.
È possibile seguire i passaggi seguenti per creare una policy IAM che conceda le autorizzazioni minime necessarie affinché Aurora possa accedere a un bucket Amazon S3 per tuo conto. Per consentire ad Aurora l'accesso a tutti i bucket Amazon S3, puoi saltare questi passaggi e utilizzare la policy IAM predefinita `AmazonS3ReadOnlyAccess` o `AmazonS3FullAccess` invece di crearne una nuova.
**Per creare una policy IAM per consentire l'accesso alle risorse Amazon S3**
1. Aprire la [console di gestione IAM](https://console.aws.amazon.com/iam/home?#home).
1. Nel pannello di navigazione, selezionare **Policies (Policy)**.
1. Scegli **Create Policy** (Crea policy).
1. Nella scheda **Visual editor (Editor visivo)** selezionare **Choose a service (Scegli un servizio)** e quindi **S3**.
1. Per **Actions (Operazioni)**, scegliere **Expand all (Espandi tutto)**, quindi scegliere le autorizzazioni del bucket e dell'oggetto necessarie per la policy IAM.
Le autorizzazioni dell'oggetto si riferiscono alle operazioni sugli oggetti in Amazon S3 e devono essere concesse per gli oggetti presenti nel bucket e non per il bucket stesso. Per ulteriori informazioni sulle autorizzazioni per le operazioni degli oggetti in Amazon S3, consulta [Autorizzazioni per operazioni relative agli oggetti](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-with-s3-actions.html#using-with-s3-actions-related-to-objects).
1. Scegliere **Resources (Risorse)** e selezionare **Add ARN (Aggiungi ARN)** per **bucket**.
1. Nella finestra di dialogo **Add ARN(s) (Aggiungi ARN)**, fornire i dettagli sulla risorsa e scegliere **Add (Aggiungi)**.
Specificare il bucket Amazon S3 a cui consentire l'accesso. Ad esempio, per consentire ad Aurora di accedere al bucket Amazon S3 denominato *amzn-s3-demo-bucket*, impostare il valore Amazon Resource Name (ARN) su `arn:aws:s3:::amzn-s3-demo-bucket`.
1. Se la risorsa **object (oggetto)** è elencata, scegliere **Add ARN (Aggiungi ARN)** per **object (oggetto)**.
1. Nella finestra di dialogo **Add ARN(s) (Aggiungi ARN)**, fornire i dettagli sulla risorsa.
Per il bucket Amazon S3 specificare il bucket Amazon S3 a cui consentire l'accesso. Per l'oggetto, è anche possibile scegliere **Any (Qualsiasi)** per concedere le autorizzazioni per qualsiasi oggetto nel bucket.
**Nota**
È possibile impostare **Amazon Resource Name (ARN)** su un valore dell'ARN più specifico in modo da consentire ad Aurora di accedere solo a specifici file o cartelle presenti in un bucket Amazon S3. Per ulteriori informazioni su come definire una policy di accesso per Amazon S3, consulta [Gestione delle autorizzazioni di accesso alle risorse Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-access-control.html).
1. (Facoltativo) Scegliere **Add ARN (Aggiungi ARN)** affinché il **bucket** aggiunga un altro bucket Amazon S3 alla policy e ripetere i passaggi precedenti per il bucket.
**Nota**
È possibile ripetere questa operazione per aggiungere le istruzioni di autorizzazione del bucket corrispondenti alla policy per ciascun bucket Amazon S3 a cui Aurora deve accedere. Facoltativamente, è anche possibile concedere l'accesso a tutti i bucket e gli oggetti in Amazon S3.
1. Scegliere **Review policy (Esamina policy)**.
1. Per **Name (Nome)**, immettere un nome per la policy IAM, ad esempio `AllowAuroraToExampleBucket`. Questo nome viene utilizzato quando si crea un ruolo IAM e lo si associa al cluster DB Aurora. È anche possibile aggiungere un valore **Description (Descrizione)** facoltativo.
1. Seleziona **Create Policy** (Crea policy).
1. Completa le fasi descritte in [Creazione di un ruolo IAM per consentire ad Amazon Aurora di accedere ai servizi AWS](AuroraMySQL.Integrating.Authorizing.IAM.CreateRole.md).
# Creazione di una policy IAM per accedere alle AWS Lambda risorse
Puoi creare una policy IAM che fornisca le autorizzazioni minime richieste ad Aurora per richiamare AWS Lambda una funzione per tuo conto.
La seguente policy aggiunge le autorizzazioni richieste da Aurora per richiamare la funzione AWS Lambda per tuo conto.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAuroraToExampleFunction",
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:us-east-1:123456789012:function:example_function"
}
]
}
```
------
Puoi utilizzare i seguenti passaggi per creare una policy IAM che fornisca le autorizzazioni minime richieste ad Aurora per richiamare AWS Lambda una funzione per tuo conto. Per consentire ad Aurora di richiamare tutte le tue AWS Lambda funzioni, puoi saltare questi passaggi e utilizzare la `AWSLambdaRole` policy predefinita invece di crearne una tua.
**Per creare una policy IAM per concedere invoke alle tue funzioni AWS Lambda**
1. Aprire la [console IAM](https://console.aws.amazon.com/iam/home?#home).
1. Nel riquadro di navigazione, scegli **Policy**.
1. Scegli **Create Policy** (Crea policy).
1. Nella scheda **Visual editor (Editor visivo)**, selezionare **Choose a service (Scegli un servizio)** e scegliere **Lambda**.
1. Per **Actions (Operazioni)**, scegliere **Expand all (Espandi tutto)**, quindi scegliere le autorizzazioni AWS Lambda necessarie per la policy IAM.
Verificare che `InvokeFunction` sia selezionato. È l'autorizzazione minima richiesta per consentire ad Amazon Aurora di richiamare una funzione. AWS Lambda
1. Scegliere **Resources (Risorse)** e selezionare **Add ARN (Aggiungi ARN)** per **function (funzione)**.
1. Nella finestra di dialogo **Add ARN(s) (Aggiungi ARN)**, fornire i dettagli sulla risorsa.
Specificare la funzione Lambda a cui consentire l'accesso. Ad esempio, per consentire ad Aurora l'accesso a una funzione Lambda denominata `example_function`, impostare il valore dell'ARN su `arn:aws:lambda:::function:example_function`.
Per ulteriori informazioni su come definire una politica di accesso per AWS Lambda, consulta [Autenticazione e controllo degli accessi](https://docs.aws.amazon.com/lambda/latest/dg/lambda-auth-and-access-control.html) per. AWS Lambda
1. Facoltativamente, scegli **Aggiungi autorizzazioni aggiuntive** per aggiungere un'altra AWS Lambda funzione alla politica e ripeti i passaggi precedenti per la funzione.
**Nota**
Puoi ripetere l'operazione per aggiungere le istruzioni di autorizzazione alla funzione corrispondenti alla tua politica per ogni AWS Lambda funzione a cui desideri che Aurora acceda.
1. Scegliere **Review policy (Esamina policy)**.
1. Impostare **Name (Nome)** su un nome per la policy IAM, ad esempio `AllowAuroraToExampleFunction`. Questo nome viene utilizzato quando si crea un ruolo IAM e lo si associa al cluster DB Aurora. È anche possibile aggiungere un valore **Description (Descrizione)** facoltativo.
1. Seleziona **Create Policy** (Crea policy).
1. Completa le fasi descritte in [Creazione di un ruolo IAM per consentire ad Amazon Aurora di accedere ai servizi AWS](AuroraMySQL.Integrating.Authorizing.IAM.CreateRole.md).
# Creazione di una policy IAM per accedere alle CloudWatch risorse Logs
Aurora può accedere ai CloudWatch log per esportare i dati dei log di controllo da un cluster Aurora DB. Tuttavia, devi prima creare una policy IAM che fornisca le autorizzazioni per il gruppo di log e il flusso di log che consentono ad Aurora di accedere ai CloudWatch log.
La seguente policy aggiunge le autorizzazioni richieste da Aurora per accedere ad CloudWatch Amazon Logs per tuo conto e le autorizzazioni minime richieste per creare gruppi di log ed esportare dati.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableCreationAndManagementOfRDSCloudwatchLogEvents",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*"
},
{
"Sid": "EnableCreationAndManagementOfRDSCloudwatchLogGroupsAndStreams",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutRetentionPolicy",
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*"
}
]
}
```
------
Puoi modificare la ARNs policy per limitare l'accesso a una regione e a un account specificiAWS.
Puoi utilizzare i seguenti passaggi per creare una policy IAM che fornisca le autorizzazioni minime richieste ad Aurora per CloudWatch accedere ai log per tuo conto. Per consentire ad Aurora l'accesso completo ai CloudWatch log, puoi saltare questi passaggi e utilizzare la policy IAM `CloudWatchLogsFullAccess` predefinita invece di crearne una tua. *Per ulteriori informazioni, consulta [Using Identity-Based Policy (IAM policies) for CloudWatch Logs nella](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-identity-based-access-control-cwl.html#managed-policies-cwl) Amazon User Guide. CloudWatch *
**Per creare una policy IAM per concedere l'accesso alle tue risorse Logs CloudWatch**
1. Aprire la [console IAM](https://console.aws.amazon.com/iam/home?#home).
1. Nel riquadro di navigazione, scegli **Policy**.
1. Scegli **Create Policy** (Crea policy).
1. Nella scheda **Visual Editor**, scegli **Scegli un servizio**, quindi scegli **CloudWatchLogs**.
1. Per **Actions**, scegli **Espandi tutto** (a destra), quindi scegli le autorizzazioni Amazon CloudWatch Logs necessarie per la policy IAM.
Verificare che le seguenti autorizzazioni siano selezionate:
+ `CreateLogGroup`
+ `CreateLogStream`
+ `DescribeLogStreams`
+ `GetLogEvents`
+ `PutLogEvents`
+ `PutRetentionPolicy`
1. Scegliere **Resources (Risorse)** e selezionare **Add ARN (Aggiungi ARN)** per **log-group (gruppo di log)**.
1. Nella finestra di dialogo **Add ARN(s) (Aggiungi ARN)**, immettere i seguenti valori:
+ **Regione**: una AWS regione o `*`
+ **Account** – Un numero di account o `*`
+ **Log Group Name (Nome gruppo di log** – `/aws/rds/*`
1. Nella finestra di dialogo **Add ARN(s) (Aggiungi ARN)**, scegliere **Add (Aggiungi)**.
1. Scegliere **Add ARN (Aggiungi ARN)** per **log-stream (flusso di log)**.
1. Nella finestra di dialogo **Add ARN(s) (Aggiungi ARN)**, immettere i seguenti valori:
+ **Regione**: una AWS regione o `*`
+ **Account** – Un numero di account o `*`
+ **Log Group Name (Nome gruppo di log** – `/aws/rds/*`
+ **Log Stream Name (Nome flusso di log** – `*`
1. Nella finestra di dialogo **Add ARN(s) (Aggiungi ARN)**, scegliere **Add (Aggiungi)**.
1. Scegliere **Review policy (Esamina policy)**.
1. Impostare **Name (Nome)** su un nome per la policy IAM, ad esempio `AmazonRDSCloudWatchLogs`. Questo nome viene utilizzato quando si crea un ruolo IAM e lo si associa al cluster DB Aurora. È anche possibile aggiungere un valore **Description (Descrizione)** facoltativo.
1. Seleziona **Create Policy** (Crea policy).
1. Completa le fasi descritte in [Creazione di un ruolo IAM per consentire ad Amazon Aurora di accedere ai servizi AWS](AuroraMySQL.Integrating.Authorizing.IAM.CreateRole.md).
# Creazione di una policy IAM per accedere alle AWS KMS risorse
Aurora può accedere alle AWS KMS keys utilizzate per la crittografia dei backup dei database. Tuttavia, è necessario innanzitutto creare una policy IAM che assegni le autorizzazioni che consentano ad Aurora di accedere alle chiavi KMS.
La seguente policy aggiunge le autorizzazioni che Aurora richiede per accedere alle chiavi KMS per tuo conto.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAuroraToAccessKey",
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-ID"
}
]
}
```
------
È possibile seguire i passaggi seguenti per creare una policy IAM che concede le autorizzazioni minime necessarie affinché Aurora possa accedere alle chiavi KMS per tuo conto.
**Per creare una policy IAM per consentire l'accesso alle chiavi KMS**
1. Aprire la [console IAM](https://console.aws.amazon.com/iam/home?#home).
1. Nel riquadro di navigazione, scegli **Policy**.
1. Scegli **Create Policy** (Crea policy).
1. Nella scheda **Visual editor (Editor visivo)**, selezionare **Choose a service (Scegli un servizio)** e scegliere **KMS**.
1. Per **Actions (Operazioni)**, scegliere **Write (Scrivi)** e selezionare **Decrypt (Decrittografa)**.
1. Scegliere **Resources (Risorse)** e selezionare **Add ARN (Aggiungi ARN)**.
1. Nella finestra di dialogo **Add ARN(s) (Aggiungi ARN)**, immettere i seguenti valori:
+ **Regione**: digita la AWS regione, ad esempio`us-west-2`.
+ **Account** – Specificare il numero dell'account utente.
+ **Nome flusso di registro**: digitare l'identificatore della chiave KMS.
1. Nella finestra di dialogo **Add ARN(s) (Aggiungi ARN)**, scegliere **Add (Aggiungi)**.
1. Scegliere **Review policy (Esamina policy)**.
1. Impostare **Name (Nome)** su un nome per la policy IAM, ad esempio `AmazonRDSKMSKey`. Questo nome viene utilizzato quando si crea un ruolo IAM e lo si associa al cluster DB Aurora. È anche possibile aggiungere un valore **Description (Descrizione)** facoltativo.
1. Seleziona **Create Policy** (Crea policy).
1. Completa le fasi descritte in [Creazione di un ruolo IAM per consentire ad Amazon Aurora di accedere ai servizi AWS](AuroraMySQL.Integrating.Authorizing.IAM.CreateRole.md).
# Creazione di un ruolo IAM per consentire ad Amazon Aurora di accedere ai servizi AWS
Dopo aver creato una policy IAM per consentire ad Aurora di accedere alle AWS risorse, devi creare un ruolo IAM e collegare la policy IAM al nuovo ruolo IAM.
Per creare un ruolo IAM che consenta al cluster Amazon RDS di comunicare con altri servizi AWS per tuo conto, completa la procedura riportata di seguito.
**Creare un ruolo IAM per consentire ad Amazon RDS di accedere ai servizi AWS**
1. Aprire la [console IAM](https://console.aws.amazon.com/iam/home?#home).
1. Nel pannello di navigazione, selezionare **Ruoli**.
1. Selezionare **Create role (Crea ruolo)**.
1. In **Servizio AWS **, scegli **RDS**.
1. In **Select your use case (Seleziona caso di utilizzo)**, selezionare **RDS – Add Role to Database (RDS – Aggiungi ruolo al database)**.
1. Scegli **Next (Successivo)**.
1. Nella pagina **Permissions policies** (Policy di autorizzazione), immetti il nome della policy nel campo **Search** (Cerca).
1. Quando viene visualizzata nell'elenco, selezionare la policy definita in precedenza utilizzando le istruzioni presenti in una delle seguenti sezioni:
+ [Creazione di una policy IAM per l'accesso alle risorse Amazon S3](AuroraMySQL.Integrating.Authorizing.IAM.S3CreatePolicy.md)
+ [Creazione di una policy IAM per accedere alle AWS Lambda risorse](AuroraMySQL.Integrating.Authorizing.IAM.LambdaCreatePolicy.md)
+ [Creazione di una policy IAM per accedere alle CloudWatch risorse Logs](AuroraMySQL.Integrating.Authorizing.IAM.CWCreatePolicy.md)
+ [Creazione di una policy IAM per accedere alle AWS KMS risorse](AuroraMySQL.Integrating.Authorizing.IAM.KMSCreatePolicy.md)
1. Scegli **Next (Successivo)**.
1. IN **Role name (Nome ruolo)**, digitare un nome per il ruolo IAM, ad esempio `RDSLoadFromS3`. È anche possibile aggiungere un valore **Description (Descrizione)** facoltativo.
1. Selezionare **Crea ruolo**.
1. Completa le fasi descritte in [Associazione di un ruolo IAM a un cluster DB Amazon Aurora MySQL](AuroraMySQL.Integrating.Authorizing.IAM.AddRoleToDBCluster.md).
# Associazione di un ruolo IAM a un cluster DB Amazon Aurora MySQL
Per consentire agli utenti del database in un cluster Amazon Aurora DB di accedere ad altri AWS servizi, associ il ruolo IAM che hai creato [Creazione di un ruolo IAM per consentire ad Amazon Aurora di accedere ai servizi AWS](AuroraMySQL.Integrating.Authorizing.IAM.CreateRole.md) a quel cluster DB. È anche possibile configurare AWS per creare un nuovo ruolo IAM associando direttamente il servizio.
**Nota**
Non è possibile associare un ruolo IAM a un cluster DB Aurora Serverless v1. Per ulteriori informazioni, consulta [Utilizzo di Amazon Aurora Serverless v1](aurora-serverless.md).
Puoi associare un ruolo IAM a un cluster database Aurora Serverless v2.
Per associare un ruolo IAM a un cluster DB è necessario effettuare due operazioni:
1. Aggiungi il ruolo all'elenco dei ruoli associati per un cluster DB utilizzando la console RDS, il AWS CLI comando [add-role-to-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/add-role-to-db-cluster.html) o l'operazione API [AddRoleToDBCluster](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_AddRoleToDBCluster.html)RDS.
Puoi aggiungere un massimo di cinque ruoli IAM per ogni cluster DB Aurora.
1. Imposta il parametro a livello di cluster per il AWS servizio correlato sull'ARN per il ruolo IAM associato.
La seguente tabella elenca i nomi dei parametri a livello di cluster per i ruoli IAM utilizzati per accedere ad altri servizi AWS .
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.Authorizing.IAM.AddRoleToDBCluster.html)
Per associare un ruolo IAM per consentire al tuo cluster Amazon RDS di comunicare con altri AWS servizi per tuo conto, procedi nel seguente modo.
## Console
**Per associare un ruolo IAM a un cluster DB Aurora utilizzando la console**
1. Aprire la console RDS all'indirizzo [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).
1. Scegliere **Databases (Database)**.
1. Scegliere il nome del cluster DB Aurora da associare a un ruolo IAM per mostrarne i dettagli.
1. Nella scheda **Connettività e sicurezza**, nella sezione **Gestisci ruoli IAM**, esegui una delle seguenti operazioni:
+ **Seleziona ruoli IAM da aggiungere a questo cluster** (impostazione predefinita)
+ **Seleziona un servizio per connetterti a questo cluster**
![\[Associare un ruolo IAM a un cluster DB\]](http://docs.aws.amazon.com/it_it/AmazonRDS/latest/AuroraUserGuide/images/AuroraAssociateIAMRole-02.png)
1. Per utilizzare un ruolo IAM esistente, selezionalo dal menu, quindi scegli **Aggiungi ruolo**.
Se l'aggiunta del ruolo ha esito positivo, il suo stato viene visualizzato come `Pending`, quindi `Available`.
1. Per connettere direttamente un servizio:
1. Scegli **Seleziona un servizio per connetterti a questo cluster**.
1. Scegli il servizio dal menu, quindi seleziona **Connetti un servizio**.
1. Per **Connect cluster to *Service Name***, inserisci l'Amazon Resource Name (ARN) da utilizzare per connetterti al servizio, quindi scegli il servizio **Connect**.
AWS crea un nuovo ruolo IAM per la connessione al servizio. Il suo stato viene visualizzato come `Pending`, quindi `Available`.
1. (Facoltativo) Per arrestare l'associazione di un ruolo IAM a un cluster database e rimuovere l'autorizzazione correlata, scegli il ruolo e quindi seleziona **Elimina**.
**Per impostare il parametro a livello di cluster per il ruolo IAM associato**
1. Nel riquadro di navigazione della console di RDS selezionare **Parameter groups (Gruppi di parametri)**.
1. Se si sta già utilizzando un gruppo di parametri database personalizzato, è possibile selezionare quel gruppo per usarlo invece di creare un nuovo gruppo di parametri del cluster DB. Se si sta utilizzando il gruppo di parametri del cluster DB predefinito, creare un nuovo gruppo di parametri del cluster DB, come descritto nei passaggi seguenti:
1. Scegliere **Create parameter group (Crea gruppo di parametri)**.
1. Per **Famiglia del gruppo di parametri**, scegli `aurora-mysql8.0` per un cluster di database compatibile con Aurora MySQL 8.0 o scegli `aurora-mysql5.7` per un cluster di database compatibile con Aurora MySQL 5.7.
1. Per **Type (Tipo)**, scegliere **DB Cluster Parameter Group (Gruppo di parametri del cluster DB)**.
1. Per **Group name (Nome gruppo)**, digitare il nome del nuovo gruppo di parametri del cluster DB.
1. Per **Description (Descrizione)**, digitare una descrizione per il nuovo gruppo di parametri del cluster DB.
![\[Creare gruppo di parametri del cluster DB\]](http://docs.aws.amazon.com/it_it/AmazonRDS/latest/AuroraUserGuide/images/AuroraAssociateIAMRole-03.png)
1. Scegliere **Create (Crea)**.
1. Nella pagina **Parameter groups (Gruppi di parametri)**, selezionare il gruppo di parametri del cluster DB e scegliere **Edit (Modifica)** per **Parameter group actions (Operazioni del gruppo di parametri)**.
1. Imposta i [parametri](#aurora_cluster_params_iam_roles) appropriati a livello di cluster sui valori ARN del ruolo IAM correlato.
Ad esempio, è possibile impostare il parametro `aws_default_s3_role` su `arn:aws:iam::123456789012:role/AllowS3Access`.
1. Seleziona **Save changes** (Salva modifiche).
1. Per modificare il gruppo di parametri del cluster di database per il cluster di database, completare le seguenti fasi:
1. Scegliere **Databases (Database)**, quindi scegliere il cluster di database Aurora.
1. Scegliere **Modify (Modifica)**.
1. Scorrere fino a **Database options (Opzioni database)** e impostare **DB cluster parameter group (Gruppo di parametri del cluster di database)** sul gruppo di parametri del cluster di database.
1. Scegli **Continue (Continua)**.
1. Controllare le modifiche e scegliere **Apply immediately (Applica immediatamente)**.
1. Scegliere **Modify cluster (Modifica cluster)**.
1. Scegliere **Databases (Database)** e scegliere l'istanza primaria per il cluster di database.
1. In **Actions (Operazioni)**, scegliere **Reboot (Riavvia)**.
Al riavvio dell'istanza, il ruolo IAM viene associato al cluster DB.
Per ulteriori informazioni sui gruppi di parametri del cluster, consulta [Parametri di configurazione Aurora MySQL](AuroraMySQL.Reference.ParameterGroups.md).
## CLI
**Per associare un ruolo IAM a un cluster DB utilizzando AWS CLI**
1. Chiama il `add-role-to-db-cluster` comando da AWS CLI ARNs per aggiungere i tuoi ruoli IAM al cluster DB, come illustrato di seguito.
```
PROMPT> aws rds add-role-to-db-cluster --db-cluster-identifier my-cluster --role-arn arn:aws:iam::123456789012:role/AllowAuroraS3Role
PROMPT> aws rds add-role-to-db-cluster --db-cluster-identifier my-cluster --role-arn arn:aws:iam::123456789012:role/AllowAuroraLambdaRole
```
1. Se si sta utilizzando il gruppo di parametri del cluster DB predefinito, creare un nuovo gruppo di parametri del cluster DB. Se si sta già utilizzando un gruppo di parametri database personalizzato, è possibile usare quel gruppo invece di creare un nuovo gruppo di parametri del cluster DB.
Per creare un nuovo gruppo di parametri del cluster DB, chiamate il `create-db-cluster-parameter-group` comando da AWS CLI, come illustrato di seguito.
```
PROMPT> aws rds create-db-cluster-parameter-group --db-cluster-parameter-group-name AllowAWSAccess \
--db-parameter-group-family aurora5.7 --description "Allow access to Amazon S3 and AWS Lambda"
```
Per un cluster DB compatibile con Aurora MySQL 5.7, specificare `aurora-mysql5.7` per `--db-parameter-group-family`. Per un cluster database compatibile con Aurora MySQL 8.0, specificare `aurora-mysql8.0` per `--db-parameter-group-family`.
1. Impostare i parametri o i parametri appropriati a livello di cluster e i relativi valori ARN del ruolo IAM nel gruppo di parametri del cluster DB, come illustrato di seguito.
```
PROMPT> aws rds modify-db-cluster-parameter-group --db-cluster-parameter-group-name AllowAWSAccess \
--parameters "ParameterName=aws_default_s3_role,ParameterValue=arn:aws:iam::123456789012:role/AllowAuroraS3Role,method=pending-reboot" \
--parameters "ParameterName=aws_default_lambda_role,ParameterValue=arn:aws:iam::123456789012:role/AllowAuroraLambdaRole,method=pending-reboot"
```
1. Modificare il cluster DB per usare il nuovo gruppo di parametri del cluster DB e riavviare il cluster, come mostrato di seguito.
```
PROMPT> aws rds modify-db-cluster --db-cluster-identifier my-cluster --db-cluster-parameter-group-name AllowAWSAccess
PROMPT> aws rds reboot-db-instance --db-instance-identifier my-cluster-primary
```
Al riavvio dell'istanza, i ruoli IAM vengono associati al cluster DB.
Per ulteriori informazioni sui gruppi di parametri del cluster, consulta [Parametri di configurazione Aurora MySQL](AuroraMySQL.Reference.ParameterGroups.md).