Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # AWS Batch Politiche, ruoli e autorizzazioni IAM Politiche, ruoli e autorizzazioni IAM Per impostazione predefinita, gli utenti non dispongono dell'autorizzazione per creare o modificare AWS Batch risorse o per eseguire attività utilizzando l' AWS Batch API, la AWS Batch console o il AWS CLI. Per consentire agli utenti di eseguire queste azioni, crea policy IAM che concedano agli utenti l'autorizzazione per le risorse e le operazioni API specifiche. Quindi, collega le policy agli utenti o ai gruppi che richiedono tali autorizzazioni. Quando si associa una politica a un utente o a un gruppo di utenti, la politica consente o nega le autorizzazioni per eseguire attività specifiche su risorse specifiche. Per ulteriori informazioni, consulta [Autorizzazioni e politiche](https://docs.aws.amazon.com/IAM/latest/UserGuide/PermissionsAndPolicies.html) nella Guida per l'utente *IAM*. Per ulteriori informazioni sulla gestione e la creazione di policy IAM personalizzate, consulta la sezione relativa alla [gestione delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html). AWS Batch effettua chiamate verso altre persone per tuo Servizi AWS conto. Di conseguenza, AWS Batch deve autenticarsi utilizzando le proprie credenziali. Più specificamente, si AWS Batch autentica creando un ruolo e una policy IAM che forniscono queste autorizzazioni. Quindi, associa il ruolo agli ambienti di calcolo al momento della creazione. *Per ulteriori informazioni, consulta [IAM Roles [Ruolo dell'istanza Amazon ECS](instance_IAM_role.md)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-toplevel.html), [Using Service-Linked Roles](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) e [Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio nella Guida per l'utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) IAM.* **Topics** + [ # Struttura delle politiche IAM ](iam-policy-structure.md) + [ # Risorsa: politiche di esempio per AWS Batch ](ExamplePolicies_BATCH.md) + [ # Risorsa: politica AWS Batch gestita ](batch_managed_policies.md) # Struttura delle politiche IAM Nei seguenti argomenti viene illustrata la struttura di una policy IAM. **Topics** + [ ## Sintassi delle policy ](#policy-syntax) + [ ## Azioni API per AWS Batch ](#UsingWithbatch_Actions) + [ ## Nomi di risorse Amazon per AWS Batch ](#batch_ARN_Format) + [ ## Verifica che gli utenti dispongano delle autorizzazioni richieste ](#check-required-permissions) ## Sintassi delle policy Una policy IAM è un documento JSON costituito da una o più dichiarazioni. Ogni dichiarazione è strutturata come segue. ``` { "Statement":[{ "Effect":"effect", "Action":"action", "Resource":"arn", "Condition":{ "condition":{ "key":"value" } } } ] } ``` Ci sono quattro elementi principali che costituiscono una dichiarazione: + **Effetto**: l'elemento *effect* può essere `Allow` o `Deny`. Per impostazione predefinita, gli utenti non sono autorizzati a utilizzare risorse e azioni API. Pertanto, tutte le richieste vengono rifiutate. Un permesso esplicito sostituisce l'impostazione predefinita. Un rifiuto esplicito sovrascrive tutti i consensi. + **Azione**: l'*azione* è l'azione API specifica per la quale concedi o neghi l'autorizzazione. Per istruzioni su come specificare l'*azione*, consulta. [Azioni API per AWS Batch](#UsingWithbatch_Actions) + **Resource** (Risorsa): la risorsa che viene modificata dall'operazione. Con alcune azioni AWS Batch API, puoi includere nella tua policy risorse specifiche che possono essere create o modificate dall'azione. Per specificare una risorsa nella dichiarazione, si utilizza il suo Amazon Resource Name (ARN). Per ulteriori informazioni, consultare [Autorizzazioni supportate a livello di risorsa per le azioni API AWS Batch](batch-supported-iam-actions-resources.md) e [Nomi di risorse Amazon per AWS Batch](#batch_ARN_Format). Se l'operazione AWS Batch API attualmente non supporta le autorizzazioni a livello di risorsa, includi un carattere jolly (\$1) per specificare che tutte le risorse possono essere influenzate dall'azione. + **Condition**: le condizioni sono facoltative. Possono essere utilizzate per controllare quando è in vigore una policy. Per ulteriori informazioni su esempi di dichiarazioni politiche IAM per, consulta. AWS Batch[Risorsa: politiche di esempio per AWS Batch](ExamplePolicies_BATCH.md) ## Azioni API per AWS Batch In una dichiarazione di policy IAM, è possibile specificare qualsiasi operazione API per qualsiasi servizio che supporta IAM. Per AWS Batch, utilizza il seguente prefisso con il nome dell'azione API: `batch:` (ad esempio, `batch:SubmitJob` e`batch:CreateComputeEnvironment`). Per specificare più azioni in una singola istruzione, separa ogni azione con una virgola. ``` "Action": ["batch:action1", "batch:action2"] ``` È inoltre possibile specificare più azioni includendo un carattere jolly (\$1). Ad esempio, puoi specificare tutte le azioni con un nome che inizia con la parola «Descrivi». ``` "Action": "batch:Describe*" ``` Per specificare tutte le azioni AWS Batch API, includi un carattere jolly (\$1). ``` "Action": "batch:*" ``` Per un elenco di AWS Batch azioni, consulta [Azioni](https://docs.aws.amazon.com/batch/latest/APIReference/API_Operations.html) nel *riferimento AWS Batch API.* ## Nomi di risorse Amazon per AWS Batch Ogni dichiarazione di policy IAM si applica alle risorse specificate utilizzando i rispettivi Amazon Resource Names (ARNs). Un Amazon Resource Name (ARN) ha la seguente sintassi generale: ``` arn:aws:[service]:[region]:[account]:resourceType/resourcePath ``` *service* Il servizio (ad esempio `batch`). *Regione* Il Regione AWS per la risorsa (ad esempio,`us-east-2`). *account* L' Account AWS ID, senza trattini (ad esempio,`123456789012`). *resourceType* Il tipo di risorsa (ad esempio `compute-environment`). *resourcePath* Un percorso che identifica la risorsa. Puoi usare un carattere jolly (\$1) nei tuoi percorsi. AWS Batch Le operazioni API attualmente supportano le autorizzazioni a livello di risorsa su diverse operazioni API. Per ulteriori informazioni, consulta [Autorizzazioni supportate a livello di risorsa per le azioni API AWS Batch](batch-supported-iam-actions-resources.md). Per specificare tutte le risorse, o se un'azione API specifica non supporta ARNs, includi un carattere jolly (\$1) nell'elemento. `Resource` ``` "Resource": "*" ``` ## Verifica che gli utenti dispongano delle autorizzazioni richieste Test delle autorizzazioni Prima di mettere in produzione una policy IAM, assicurati che conceda agli utenti le autorizzazioni per utilizzare le azioni e le risorse API specifiche di cui hanno bisogno. Per fare ciò, crea innanzitutto un utente a scopo di test e allega la policy IAM all'utente di test. In seguito, effettua una richiesta come utente di test. nella console o con la AWS CLI. **Nota** Puoi anche testare le tue policy utilizzando [IAM Policy Simulator](https://policysim.aws.amazon.com/home/index.jsp?#). Per ulteriori informazioni sul simulatore di policy, consulta [Working with the IAM Policy Simulator](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies_testing-policies.html) nella *IAM* User Guide. Se la policy non concede all'utente le autorizzazioni previste oppure è eccessivamente permissiva, puoi modificarla in base alle esigenze. Ripeti il test fino a ottenere i risultati desiderati. **Importante** La propagazione delle modifiche alla policy e la loro validità potrebbe richiedere alcuni minuti. Pertanto, ti consigliamo di attendere almeno cinque minuti prima di testare gli aggiornamenti delle policy. Se una verifica dell'autorizzazione ha esito negativo, la richiesta restituisce un messaggio codificato con informazioni di diagnostica. Il messaggio può essere decodificato tramite l'operazione `DecodeAuthorizationMessage`. Per ulteriori informazioni, consulta [DecodeAuthorizationMessage](https://docs.aws.amazon.com/STS/latest/APIReference/API_DecodeAuthorizationMessage.html)l'*AWS Security Token Service API Reference* e [decode-authorization-message](https://docs.aws.amazon.com/cli/latest/reference/sts/decode-authorization-message.html)il *AWS CLI Command Reference*. # Risorsa: politiche di esempio per AWS Batch Risorsa: politiche di esempio Puoi creare policy IAM specifiche per limitare le chiamate e le risorse a cui hanno accesso gli utenti del tuo account. Quindi, puoi allegare tali politiche agli utenti. Quando alleghi una politica a un utente o a un gruppo di utenti, la politica consente o nega l'autorizzazione degli utenti per attività specifiche su risorse specifiche. Per ulteriori informazioni, consulta [Autorizzazioni e politiche nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/PermissionsAndPolicies.html) per l'*utente IAM*. Per istruzioni su come gestire e creare policy IAM personalizzate, consulta [Managing IAM Policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html). Gli esempi seguenti mostrano le dichiarazioni politiche che puoi utilizzare per controllare le autorizzazioni di cui dispongono gli AWS Batch utenti. **Topics** + [Accesso in sola lettura](iam-example-read-only.md) + [Risorsa: limita utente, immagine, privilegio, ruolo](iam-example-job-def.md) + [Limita l'invio di lavori](iam-example-restrict-job-submission.md) + [Limita a una coda di lavoro](iam-example-restrict-job-queue.md) + [ # Nega l'azione quando tutte le condizioni corrispondono alle stringhe ](iam-example-job-def-deny-all-image-logdriver.md) + [ # Risorsa: nega l'azione quando i tasti condizionali corrispondono alle stringhe ](iam-example-job-def-deny-any-image-logdriver.md) + [Usa il tasto `batch:ShareIdentifier` condizione](iam-example-share-identifier.md) + [Gestisci le risorse di SageMaker intelligenza artificiale con AWS Batch](iam-example-full-access-service-environment.md) + [Limita l'invio di lavori tramite i tag delle risorse](iam-example-restrict-job-submission-by-tags.md) # Risorsa: accesso in sola lettura per AWS Batch Accesso in sola lettura La seguente politica concede agli utenti le autorizzazioni per utilizzare tutte le azioni AWS Batch API con un nome che inizia con e. `Describe` `List` A meno che un'altra dichiarazione non conceda loro l'autorizzazione a farlo, gli utenti non sono autorizzati a eseguire alcuna azione sulle risorse. Per impostazione predefinita, viene loro negata l'autorizzazione a utilizzare le azioni API. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "batch:Describe*", "batch:List*", "batch:Get*" ], "Resource": "*" } ] } ``` ------ # Risorsa: limita all'utente POSIX, all'immagine Docker, al livello di privilegio e al ruolo nell'invio del lavoro Risorsa: limita utente, immagine, privilegio, ruolo La seguente politica consente a un utente POSIX di gestire il proprio set di definizioni di lavoro limitate. Utilizzate la prima e la seconda istruzione per registrare e annullare la registrazione di qualsiasi nome di definizione di lavoro il cui nome è preceduto da. *JobDefA\$1* La prima istruzione utilizza inoltre le chiavi di contesto condizionali per impostare restrizioni per utente POSIX, stato con privilegi, valori immagine container nelle `containerProperties` di definizione del processo. Per ulteriori informazioni, consulta [RegisterJobDefinition](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html) nella *documentazione di riferimento dell’API AWS Batch *. In questo esempio, le definizioni dei job possono essere registrate solo quando l'utente POSIX è impostato su. `nobody` Il flag privilegiato è impostato su. `false` Infine, l'immagine viene impostata su `myImage` un repository Amazon ECR. **Importante** Docker risolve il `user` parametro per quell'utente `uid` dall'interno dell'immagine del contenitore. Nella maggior parte dei casi, questo si trova nel `/etc/passwd` file all'interno dell'immagine del contenitore. Questa risoluzione dei nomi può essere evitata utilizzando `uid` valori diretti sia nella definizione del lavoro che in qualsiasi policy IAM associata. Sia le operazioni AWS Batch API che le chiavi condizionali `batch:User` IAM supportano valori numerici. Utilizza la terza istruzione per limitare solo un ruolo specifico alla definizione di un lavoro. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "batch:RegisterJobDefinition" ], "Resource": [ "arn:aws:batch:us-east-2:999999999999:job-definition/JobDefA_*" ], "Condition": { "StringEquals": { "batch:User": [ "nobody" ], "batch:Image": [ "999999999999.dkr.ecr.us-east-2.amazonaws.com/myImage" ] }, "Bool": { "batch:Privileged": "false" } } }, { "Effect": "Allow", "Action": [ "batch:DeregisterJobDefinition" ], "Resource": [ "arn:aws:batch:us-east-2:999999999999:job-definition/JobDefA_*" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::999999999999:role/MyBatchJobRole" ] } ] } ``` ------ # Risorsa: Limita al prefisso di definizione del lavoro all'invio del lavoro Limita l'invio di lavori Utilizza la seguente politica per inviare lavori a qualsiasi coda di lavoro con qualsiasi nome di definizione di processo che inizi con. *JobDefA* **Importante** Quando si definisca l'accesso a livello di risorsa per l'invio del processo, è necessario fornire sia la coda processo sia i tipi di risorse di definizione processo. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "batch:SubmitJob" ], "Resource": [ "arn:aws:batch:us-east-2:111122223333:job-definition/JobDefA_*", "arn:aws:batch:us-east-2:111122223333:job-queue/*" ] } ] } ``` ------ # Risorsa: Limita a una coda di lavoro Limita a una coda di lavoro Utilizza la seguente politica per inviare i lavori a una coda di lavori specifica denominata **queue1** con qualsiasi nome di definizione del processo. **Importante** Quando si definisca l'accesso a livello di risorsa per l'invio del processo, è necessario fornire sia la coda processo sia i tipi di risorse di definizione processo. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "batch:SubmitJob" ], "Resource": [ "arn:aws:batch:us-east-2:888888888888:job-definition/*", "arn:aws:batch:us-east-2:888888888888:job-queue/queue1" ] } ] } ``` ------ # Nega l'azione quando tutte le condizioni corrispondono alle stringhe La seguente politica nega l'accesso al funzionamento dell'[https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html)API quando sia la chiave di condizione `batch:Image` (ID dell'immagine del contenitore) è "*string1*" sia la chiave di condizione `batch:LogDriver` (container log driver) è "». *string2* AWS Batch valuta le chiavi di condizione su ogni contenitore. Quando un lavoro si estende su più contenitori, ad esempio un processo parallelo a più nodi, è possibile che i contenitori abbiano configurazioni diverse. Se più chiavi di condizione vengono valutate in un'unica istruzione, vengono combinate utilizzando la logica. `AND` Pertanto, se una delle più chiavi di condizione non corrisponde a un contenitore, l'`Deny`effetto non viene applicato a quel contenitore. Piuttosto, un contenitore diverso nello stesso lavoro potrebbe essere negato. Per l'elenco delle chiavi di condizione per AWS Batch, vedi [Condition keys for AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-policy-keys) nel *Service Authorization Reference*. Ad eccezione di`batch:ShareIdentifier`, tutte le chiavi di `batch` condizione possono essere utilizzate in questo modo. La chiave di `batch:ShareIdentifier` condizione è definita per un lavoro, non per una definizione di processo. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "batch:RegisterJobDefinition" ], "Resource": [ "*" ] }, { "Effect": "Deny", "Action": "batch:RegisterJobDefinition", "Resource": "*", "Condition": { "StringEquals": { "batch:Image": "string1", "batch:LogDriver": "string2" } } } ] } ``` ------ # Risorsa: nega l'azione quando i tasti condizionali corrispondono alle stringhe La seguente politica nega l'accesso all'operazione [https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html)API quando la chiave di condizione `batch:Image` (ID dell'immagine del contenitore) è "*string1*" o la chiave di condizione `batch:LogDriver` (container log driver) è "». *string2* Quando un lavoro si estende su più contenitori, ad esempio un processo parallelo a più nodi, è possibile che i contenitori abbiano configurazioni diverse. Se più chiavi di condizione vengono valutate in un'unica istruzione, vengono combinate utilizzando la logica. `AND` Pertanto, se una delle più chiavi di condizione non corrisponde a un contenitore, l'`Deny`effetto non viene applicato a quel contenitore. Piuttosto, un contenitore diverso nello stesso lavoro potrebbe essere negato. Per l'elenco delle chiavi di condizione per AWS Batch, vedi [Condition keys for AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-policy-keys) nel *Service Authorization Reference*. Ad eccezione di`batch:ShareIdentifier`, tutte le chiavi di `batch` condizione possono essere utilizzate in questo modo. (La chiave di `batch:ShareIdentifier` condizione è definita per un lavoro, non per una definizione di processo.) ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "batch:RegisterJobDefinition" ], "Resource": [ "*" ] }, { "Effect": "Deny", "Action": [ "batch:RegisterJobDefinition" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "batch:Image": [ "string1" ] } } }, { "Effect": "Deny", "Action": [ "batch:RegisterJobDefinition" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "batch:LogDriver": [ "string2" ] } } } ] } ``` ------ # Risorsa: utilizza la chiave di `batch:ShareIdentifier` condizione Usa il tasto `batch:ShareIdentifier` condizione Utilizza la seguente politica per inviare i lavori che utilizzano la definizione del `jobDefA` processo alla coda dei `jobqueue1` lavori con l'identificatore di `lowCpu` condivisione. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "batch:SubmitJob" ], "Resource": [ "arn:aws:batch:us-east-2:555555555555:job-definition/JobDefA", "arn:aws:batch:us-east-2:555555555555:job-queue/jobqueue1" ], "Condition": { "StringEquals": { "batch:ShareIdentifier": [ "lowCpu" ] } } } ] } ``` ------ # Gestisci le risorse di SageMaker intelligenza artificiale con AWS Batch Gestisci le risorse di SageMaker intelligenza artificiale con AWS Batch Questa politica consente di AWS Batch gestire le risorse di SageMaker intelligenza artificiale. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "batch:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAWSBatchWithSagemaker", "Condition": { "StringEquals": { "iam:AWSServiceName": "sagemaker-queuing.batch.amazonaws.com" } } }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com" ] } } } ] } ``` ------ # Risorsa: limita l'invio dei lavori tramite i tag delle risorse sulla definizione del lavoro e sulla coda dei lavori Limita l'invio di lavori tramite i tag delle risorse Utilizza la seguente politica per inviare lavori solo quando sia la coda dei lavori ha il tag `Environment=dev` che la definizione del lavoro ha il tag. `Project=calc` Questa politica dimostra come utilizzare i tag delle risorse per controllare l'accesso alle AWS Batch risorse durante l'invio dei lavori. **Importante** Quando si inviano lavori con politiche che valutano i tag delle risorse per la definizione dei processi, è necessario inviare lavori utilizzando il formato di revisione delle definizioni di lavoro (). `job-definition:revision` Se invii lavori senza specificare una revisione, i tag di definizione dei processi non verranno valutati, il che potrebbe aggirare i controlli di accesso previsti. Lo `*:*` schema della risorsa ARN impone che gli invii includano una revisione, garantendo che le politiche relative ai tag siano sempre applicate in modo efficace. Questa politica utilizza due istruzioni separate perché applica condizioni di tag diverse a diversi tipi di risorse. Quando si definisca l'accesso a livello di risorsa per l'invio del processo, è necessario fornire sia la coda processo sia i tipi di risorse di definizione processo. ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "batch:SubmitJob", "Resource": "arn:aws:batch:*:*:job-queue/*", "Condition": { "StringEquals": { "aws:ResourceTag/Environment": "dev" } } }, { "Effect": "Allow", "Action": "batch:SubmitJob", "Resource": "arn:aws:batch:*:*:job-definition/*:*", "Condition": { "StringEquals": { "aws:ResourceTag/Project": "calc" } } } ] } ``` # Risorsa: politica AWS Batch gestita AWS Batch fornisce una politica gestita che è possibile allegare agli utenti. Questa policy fornisce l'autorizzazione all'uso AWS Batch delle risorse e delle operazioni API. Puoi applicare questa policy direttamente oppure utilizzarla come punto di partenza per la creazione delle tue policy. Per ulteriori informazioni su ciascuna operazione API menzionata in queste politiche, consulta [Azioni](https://docs.aws.amazon.com/batch/latest/APIReference/API_Operations.html) nell'*AWS Batch API Reference*. ## AWSBatchFullAccess Questa politica consente l'accesso completo dell'amministratore a AWS Batch. Per visualizzare il codice JSON della policy, consulta [AWSBatchFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchFullAccess.html)la [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).