Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in AWS Batch
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di data center e architetture di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra te AWS e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo aspetto come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi in Cloud AWS. AWS fornisce inoltre servizi che è possibile utilizzare in modo sicuro. I revisori esterni testano e verificano regolarmente l'efficacia della nostra sicurezza nell'ambito dei [AWS Programmi di AWS conformità dei Programmi di conformità](https://aws.amazon.com/compliance/programs/) dei di . Per ulteriori informazioni sui programmi di conformità applicabili AWS Batch, consulta [AWS Servizi nell'ambito del programma di conformitàAWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal servizio AWS che utilizzi. Inoltre, sei responsabile anche di altri fattori, tra cui la riservatezza dei dati, i requisiti dell'azienda e le leggi e le normative applicabili.
Questa documentazione aiuta a capire come applicare il modello di responsabilità condivisa durante l'utilizzo AWS Batch. I seguenti argomenti mostrano come eseguire la configurazione AWS Batch per soddisfare gli obiettivi di sicurezza e conformità. Imparerai anche a utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere AWS Batch le tue risorse.
**Topics**
+ [Identity and Access Management per AWS Batch](security-iam.md)
+ [AWS Batch Politiche, ruoli e autorizzazioni IAM](IAM_policies.md)
+ [AWS Batch Ruolo di esecuzione IAM](execution-IAM-role.md)
+ [Crea un cloud privato virtuale](create-public-private-vpc.md)
+ [Usa un endpoint di interfaccia per Access AWS Batch](vpc-interface-endpoints.md)
+ [Convalida della conformità per AWS Batch](compliance.md)
+ [Sicurezza dell'infrastruttura in AWS Batch](infrastructure-security.md)
+ [Prevenzione del problema "confused deputy" tra servizi](cross-service-confused-deputy-prevention.md)
+ [Registrazione delle chiamate API con AWS Batch AWS CloudTrail](logging-using-cloudtrail.md)
+ [Risolvi i problemi AWS Batch di IAM](security_iam_troubleshoot.md)
# Identity and Access Management per AWS Batch
AWS Identity and Access Management (IAM) è un software Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse. AWS Batch IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come AWS Batch funziona con IAM](security_iam_service-with-iam.md)
+ [Esempi di policy basate sull'identità per AWS Batch](security_iam_id-based-policy-examples.md)
+ [AWS politiche gestite per AWS Batch](security-iam-awsmanpol.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risolvi i problemi AWS Batch di IAM](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come AWS Batch funziona con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate sull'identità per AWS Batch](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*.
### Identità federata
Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come AWS Batch funziona con IAM
Prima di utilizzare IAM per gestire l'accesso a AWS Batch, scopri con quali funzionalità IAM è possibile utilizzare AWS Batch.
**Funzionalità IAM che puoi utilizzare con AWS Batch**
| Funzionalità IAM | AWS Batch supporto |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies) | Sì |
| Policy basate sulle risorse | No |
| [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources) | Sì |
| [Chiavi di condizione delle policy](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sì |
| ACLs | No |
| [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags) | Sì |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Autorizzazioni del principale](#security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-roles-service) | Sì |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | Sì |
Per avere una panoramica di alto livello su come AWS Batch e altri AWS servizi funzionano con la maggior parte delle funzionalità IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
## Politiche basate sull'identità per AWS Batch
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
### Esempi di politiche basate sull'identità per AWS Batch
Per visualizzare esempi di politiche basate sull' AWS Batch identità, vedere. [Esempi di policy basate sull'identità per AWS Batch](security_iam_id-based-policy-examples.md)
## Azioni politiche per AWS Batch
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Per visualizzare un elenco di AWS Batch azioni, vedere [Azioni definite da AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-actions-as-permissions) nel *Service Authorization* Reference.
Le azioni politiche in AWS Batch uso utilizzano il seguente prefisso prima dell'azione:
```
batch
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"batch:action1",
"batch:action2"
]
```
È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `Describe`, includi la seguente azione:
```
"Action": "batch:Describe*"
```
Per visualizzare esempi di politiche AWS Batch basate sull'identità, vedere. [Esempi di policy basate sull'identità per AWS Batch](security_iam_id-based-policy-examples.md)
## Risorse politiche per AWS Batch
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Per visualizzare un elenco dei tipi di AWS Batch risorse e relativi ARNs, vedere [Resources Defined by AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-resources-for-iam-policies) nel *Service Authorization* Reference. Per informazioni sulle operazioni con cui è possibile specificare l'ARN di ogni risorsa, consulta [Operazioni definite da AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-actions-as-permissions).
## Chiavi relative alle condizioni delle politiche per AWS Batch
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Per visualizzare un elenco di chiavi di AWS Batch condizione, consulta [Condition Keys for AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-policy-keys) nel *Service Authorization Reference*. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, vedi [Azioni definite da AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-actions-as-permissions).
## Controllo degli accessi basato sugli attributi (ABAC) con AWS Batch
**Supporta ABAC (tag nelle policy):** sì
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base ad attributi chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
## Usa credenziali temporanee con AWS Batch
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono l'accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Autorizzazioni principali multiservizio per AWS Batch
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale che chiama an Servizio AWS, combinate con la richiesta di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli di servizio per AWS Batch
**Supporta i ruoli di servizio:** sì
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio potrebbe compromettere AWS Batch la funzionalità. Modifica i ruoli di servizio solo quando AWS Batch fornisce le indicazioni per farlo.
## Ruoli collegati ai servizi per AWS Batch
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per ulteriori informazioni su come creare e gestire i ruoli collegati ai servizi, consulta [Servizi AWS supportati da IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova un servizio nella tabella che include un `Yes` nella colonna **Service-linked role (Ruolo collegato ai servizi)**. Scegli il collegamento **Sì** per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
# Esempi di policy basate sull'identità per AWS Batch
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse AWS Batch . Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per informazioni dettagliate sulle azioni e sui tipi di risorse definiti da AWS Batch, incluso il formato di ARNs per ogni tipo di risorsa, vedere [Actions, Resources and Condition Keys AWS Batch nel *Service* Authorization](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html) Reference.
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console AWS Batch](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare AWS Batch risorse nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console AWS Batch
Per accedere alla AWS Batch console, è necessario disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle AWS Batch risorse del tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Per garantire che utenti e ruoli possano ancora utilizzare la AWS Batch console, allega anche la policy AWS Batch `ConsoleAccess` o la policy `ReadOnly` AWS gestita alle entità. Per maggiori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente di IAM*.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS politiche gestite per AWS Batch
Puoi utilizzare politiche AWS gestite per una gestione più semplice dell'accesso all'identità per il team e le risorse a cui è stato assegnato AWS . AWS le politiche gestite coprono una serie di casi d'uso comuni, sono disponibili per impostazione predefinita nel tuo AWS account e vengono gestite e aggiornate per tuo conto. Non puoi modificare le autorizzazioni nelle politiche AWS gestite. Se hai bisogno di maggiore flessibilità, puoi in alternativa scegliere di creare policy gestite dai clienti IAM. In questo modo, puoi fornire alle risorse assegnate al tuo team solo le autorizzazioni esatte di cui hanno bisogno.
Per ulteriori informazioni sulle policy AWS gestite, consulta le [policy AWS gestite](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *IAM User Guide*.
AWS i servizi mantengono e aggiornano le politiche AWS gestite per tuo conto. Periodicamente, AWS i servizi aggiungono autorizzazioni aggiuntive a una policy AWS gestita. AWS le politiche gestite vengono molto probabilmente aggiornate quando diventa disponibile il lancio o l'operazione di una nuova funzionalità. Questi aggiornamenti influiscono automaticamente su tutte le identità (utenti, gruppi e ruoli) a cui è allegata la policy. Tuttavia, non rimuovono le autorizzazioni né interrompono le autorizzazioni esistenti.
Inoltre, AWS supporta politiche gestite per le funzioni lavorative che si estendono su più servizi. Ad esempio, la policy `ReadOnlyAccess` AWS gestita fornisce l'accesso in sola lettura a tutti i AWS servizi e le risorse. Quando un servizio lancia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per l’elenco e la descrizione delle policy di funzione dei processi, consultare la sezione [Policy gestite da AWS per funzioni di processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
## AWS politica gestita: **BatchServiceRolePolicy**
La policy IAM **BatchServiceRolePolicy**gestita viene utilizzata dal ruolo [`AWSServiceRoleForBatch`](using-service-linked-roles.md)collegato al servizio. Ciò consente di AWS Batch eseguire azioni per tuo conto. Non è possibile attribuire questa policy alle entità IAM. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per AWS Batch](using-service-linked-roles.md).
Questa politica consente AWS Batch di completare le seguenti azioni su risorse specifiche:
+ `autoscaling`— Consente di AWS Batch creare e gestire risorse Amazon EC2 Auto Scaling. AWS Batch crea e gestisce gruppi Amazon EC2 Auto Scaling per la maggior parte degli ambienti di elaborazione.
+ `ec2`— Consente di AWS Batch controllare il ciclo di vita delle istanze Amazon EC2, nonché di creare e gestire modelli e tag di avvio. AWS Batch crea e gestisce le richieste di EC2 Spot Fleet per alcuni ambienti di calcolo Spot EC2.
+ `ecs`- Consente di AWS Batch creare e gestire cluster Amazon ECS, definizioni di attività e attività per l'esecuzione dei lavori.
+ `eks`- Consente di AWS Batch descrivere la risorsa del cluster Amazon EKS per le convalide.
+ `iam`- Consente di AWS Batch convalidare e trasferire i ruoli forniti dal proprietario ad Amazon EC2, Amazon EC2 Auto Scaling e Amazon ECS.
+ `logs`— Consente di creare e gestire gruppi AWS Batch di log e flussi di log per i lavori. AWS Batch
Per visualizzare il codice JSON della policy, consulta la Guida [BatchServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/BatchServiceRolePolicy.html)di [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## AWS politica gestita: **AWSBatchServiceRolePolicyForSageMaker**
[`AWSServiceRoleForAWSBatchWithSagemaker`](using-service-linked-roles-batch-sagemaker.md)consente AWS Batch di eseguire azioni per tuo conto. Non è possibile attribuire questa policy alle entità IAM. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per AWS Batch](using-service-linked-roles.md).
Questa politica consente AWS Batch di completare le seguenti azioni su risorse specifiche:
+ `sagemaker`— Consente di AWS Batch gestire i lavori di formazione sull' SageMaker intelligenza artificiale e altre risorse di SageMaker intelligenza artificiale.
+ `iam:PassRole`— Consente di AWS Batch trasferire ruoli di esecuzione definiti dal cliente all' SageMaker IA per l'esecuzione del lavoro. Il vincolo di risorse consente di trasferire ruoli ai servizi di intelligenza artificiale. SageMaker
Per visualizzare il codice JSON della policy, consulta la Guida di riferimento [AWSBatchServiceRolePolicyForSageMaker](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchServiceRolePolicyForSageMaker.html)alle [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## AWS politica gestita: **AWSBatchServiceRole**politica
La politica di autorizzazione dei ruoli denominata **AWSBatchServiceRole**consente di AWS Batch completare le seguenti azioni su risorse specifiche:
La policy IAM **AWSBatchServiceRole**gestita viene spesso utilizzata da un ruolo denominato **AWSBatchServiceRole**e include le seguenti autorizzazioni. Seguendo i consigli di sicurezza standard relativi alla concessione dei privilegi minimi, la policy gestita **AWSBatchServiceRole**può essere utilizzata come guida. Se una qualsiasi delle autorizzazioni concesse nella policy gestita non è necessaria per il caso d'uso, crea una policy personalizzata e aggiungi solo le autorizzazioni richieste. Questa policy e questo ruolo AWS Batch gestiti possono essere utilizzati con la maggior parte dei tipi di ambienti di calcolo, ma l'utilizzo di ruoli collegati ai servizi è preferibile per un'esperienza gestita meno soggetta a errori, con un ambito più preciso e una migliore esperienza gestita.
+ `autoscaling`— Consente di AWS Batch creare e gestire risorse Amazon EC2 Auto Scaling. AWS Batch crea e gestisce gruppi Amazon EC2 Auto Scaling per la maggior parte degli ambienti di elaborazione.
+ `ec2`— Consente di AWS Batch gestire il ciclo di vita delle istanze Amazon EC2, nonché di creare e gestire modelli e tag di avvio. AWS Batch crea e gestisce le richieste di EC2 Spot Fleet per alcuni ambienti di calcolo Spot EC2.
+ `ecs`- Consente di AWS Batch creare e gestire cluster Amazon ECS, definizioni di attività e attività per l'esecuzione dei lavori.
+ `iam`- Consente di AWS Batch convalidare e trasferire i ruoli forniti dal proprietario ad Amazon EC2, Amazon EC2 Auto Scaling e Amazon ECS.
+ `logs`— Consente di creare e gestire gruppi AWS Batch di log e flussi di log per i lavori. AWS Batch
Per visualizzare il codice JSON della policy, consulta la Guida [AWSBatchServiceRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchServiceRole.html)di [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## AWS politica gestita: **AWSBatchFullAccess**
La **AWSBatchFullAccess**politica garantisce alle AWS Batch azioni il pieno accesso alle AWS Batch risorse. Garantisce inoltre l'accesso alla descrizione e all'elenco delle azioni per i servizi Amazon EC2, Amazon ECS, Amazon CloudWatch EKS e IAM. In questo modo le identità IAM, utenti o ruoli, possono visualizzare le risorse AWS Batch gestite che sono state create per loro conto. Infine, questa policy consente anche di trasferire ruoli IAM selezionati a tali servizi.
Puoi collegarti **AWSBatchFullAccess**alle tue entità IAM. AWS Batch associa inoltre questa policy a un ruolo di servizio che consente di AWS Batch eseguire azioni per tuo conto.
Per visualizzare il codice JSON della policy, consulta la Guida [AWSBatchFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchFullAccess.html)di [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## AWS Batch aggiornamenti alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite AWS Batch da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei AWS Batch documenti.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| ****[ AWSBatchServiceRolePolicyForSageMaker](using-service-linked-roles-batch-sagemaker.md)****politica aggiunta | È stata aggiunta una nuova politica AWS gestita per il ruolo ** AWSBatchServiceRolePolicyForSageMaker**collegato ai servizi che consente di AWS Batch gestire l' SageMaker IA per tuo conto. | 31 luglio 2025 |
| ****[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)****politica aggiornata | Aggiornato per aggiungere il supporto per la descrizione della cronologia delle richieste e delle Amazon EC2 Auto Scaling attività di Spot Fleet. | 5 dicembre 2023 |
| ****[AWSBatchServiceRole](#security-iam-awsmanpol-AWSBatchServiceRolePolicy)****politica aggiunta | Aggiornato per aggiungere dichiarazioni IDs, concedere AWS Batch autorizzazioni a `ec2:DescribeSpotFleetRequestHistory` e`autoscaling:DescribeScalingActivities`. | 5 dicembre 2023 |
| **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**politica aggiornata | Aggiornato per aggiungere il supporto per la descrizione dei cluster Amazon EKS. | 20 ottobre 2022 |
| **[AWSBatchFullAccess](#security-iam-awsmanpol-BatchFullAccess)**politica aggiornata | Aggiornato per aggiungere il supporto per elencare e descrivere i cluster Amazon EKS. | 20 ottobre 2022 |
| **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**politica aggiornata | Aggiornato per aggiungere il supporto per i gruppi di prenotazione della capacità di Amazon EC2 gestiti da. AWS Resource Groups Per ulteriori informazioni, consulta [Work with Capacity Reservation groups](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-cr-group.html) in *Amazon EC2 User Guide*. | 18 maggio 2022 |
| **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**e **[AWSBatchServiceRole](using-service-linked-roles.md)**politiche aggiornate | Aggiornato per aggiungere il supporto per la descrizione dello stato delle istanze AWS Batch gestite in Amazon EC2 in modo da sostituire le istanze non integre. | 06 dicembre 2021 |
| **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**politica aggiornata | Aggiornato per aggiungere il supporto per il gruppo di collocamento, la prenotazione della capacità, la GPU elastica e le risorse Elastic Inference in Amazon EC2. | 26 marzo 2021 |
| **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**politica aggiunta | Con la politica **BatchServiceRolePolicy**gestita per il ruolo **AWSServiceRoleForBatch**collegato al servizio, è possibile utilizzare un ruolo collegato al servizio gestito da. AWS Batch Con questa policy, non è necessario mantenere il proprio ruolo da utilizzare negli ambienti di elaborazione. | 10 marzo 2021 |
| **[AWSBatchFullAccess](#security-iam-awsmanpol-BatchFullAccess)**- aggiungi l'autorizzazione per aggiungere un ruolo collegato al servizio | Aggiungi le autorizzazioni IAM per consentire l'aggiunta del ruolo **AWSServiceRoleForBatch**collegato al servizio all'account. | 10 marzo 2021 |
| AWS Batch ha iniziato a tenere traccia delle modifiche | AWS Batch ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 10 marzo 2021 |
# AWS Batch Politiche, ruoli e autorizzazioni IAM
Per impostazione predefinita, gli utenti non dispongono dell'autorizzazione per creare o modificare AWS Batch risorse o per eseguire attività utilizzando l' AWS Batch API, la AWS Batch console o il AWS CLI. Per consentire agli utenti di eseguire queste azioni, crea policy IAM che concedano agli utenti l'autorizzazione per le risorse e le operazioni API specifiche. Quindi, collega le policy agli utenti o ai gruppi che richiedono tali autorizzazioni.
Quando si associa una politica a un utente o a un gruppo di utenti, la politica consente o nega le autorizzazioni per eseguire attività specifiche su risorse specifiche. Per ulteriori informazioni, consulta [Autorizzazioni e politiche](https://docs.aws.amazon.com/IAM/latest/UserGuide/PermissionsAndPolicies.html) nella Guida per l'utente *IAM*. Per ulteriori informazioni sulla gestione e la creazione di policy IAM personalizzate, consulta la sezione relativa alla [gestione delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html).
AWS Batch effettua chiamate verso altre persone per tuo Servizi AWS conto. Di conseguenza, AWS Batch deve autenticarsi utilizzando le proprie credenziali. Più specificamente, si AWS Batch autentica creando un ruolo e una policy IAM che forniscono queste autorizzazioni. Quindi, associa il ruolo agli ambienti di calcolo al momento della creazione. *Per ulteriori informazioni, consulta [IAM Roles [Ruolo dell'istanza Amazon ECS](instance_IAM_role.md)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-toplevel.html), [Using Service-Linked Roles](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) e [Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio nella Guida per l'utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) IAM.*
**Topics**
+ [Struttura delle politiche IAM](iam-policy-structure.md)
+ [Risorsa: politiche di esempio per AWS Batch](ExamplePolicies_BATCH.md)
+ [Risorsa: politica AWS Batch gestita](batch_managed_policies.md)
# Struttura delle politiche IAM
Nei seguenti argomenti viene illustrata la struttura di una policy IAM.
**Topics**
+ [Sintassi delle policy](#policy-syntax)
+ [Azioni API per AWS Batch](#UsingWithbatch_Actions)
+ [Nomi di risorse Amazon per AWS Batch](#batch_ARN_Format)
+ [Verifica che gli utenti dispongano delle autorizzazioni richieste](#check-required-permissions)
## Sintassi delle policy
Una policy IAM è un documento JSON costituito da una o più dichiarazioni. Ogni dichiarazione è strutturata come segue.
```
{
"Statement":[{
"Effect":"effect",
"Action":"action",
"Resource":"arn",
"Condition":{
"condition":{
"key":"value"
}
}
}
]
}
```
Ci sono quattro elementi principali che costituiscono una dichiarazione:
+ **Effetto**: l'elemento *effect* può essere `Allow` o `Deny`. Per impostazione predefinita, gli utenti non sono autorizzati a utilizzare risorse e azioni API. Pertanto, tutte le richieste vengono rifiutate. Un permesso esplicito sostituisce l'impostazione predefinita. Un rifiuto esplicito sovrascrive tutti i consensi.
+ **Azione**: l'*azione* è l'azione API specifica per la quale concedi o neghi l'autorizzazione. Per istruzioni su come specificare l'*azione*, consulta. [Azioni API per AWS Batch](#UsingWithbatch_Actions)
+ **Resource** (Risorsa): la risorsa che viene modificata dall'operazione. Con alcune azioni AWS Batch API, puoi includere nella tua policy risorse specifiche che possono essere create o modificate dall'azione. Per specificare una risorsa nella dichiarazione, si utilizza il suo Amazon Resource Name (ARN). Per ulteriori informazioni, consultare [Autorizzazioni supportate a livello di risorsa per le azioni API AWS Batch](batch-supported-iam-actions-resources.md) e [Nomi di risorse Amazon per AWS Batch](#batch_ARN_Format). Se l'operazione AWS Batch API attualmente non supporta le autorizzazioni a livello di risorsa, includi un carattere jolly (\$1) per specificare che tutte le risorse possono essere influenzate dall'azione.
+ **Condition**: le condizioni sono facoltative. Possono essere utilizzate per controllare quando è in vigore una policy.
Per ulteriori informazioni su esempi di dichiarazioni politiche IAM per, consulta. AWS Batch[Risorsa: politiche di esempio per AWS Batch](ExamplePolicies_BATCH.md)
## Azioni API per AWS Batch
In una dichiarazione di policy IAM, è possibile specificare qualsiasi operazione API per qualsiasi servizio che supporta IAM. Per AWS Batch, utilizza il seguente prefisso con il nome dell'azione API: `batch:` (ad esempio, `batch:SubmitJob` e`batch:CreateComputeEnvironment`).
Per specificare più azioni in una singola istruzione, separa ogni azione con una virgola.
```
"Action": ["batch:action1", "batch:action2"]
```
È inoltre possibile specificare più azioni includendo un carattere jolly (\$1). Ad esempio, puoi specificare tutte le azioni con un nome che inizia con la parola «Descrivi».
```
"Action": "batch:Describe*"
```
Per specificare tutte le azioni AWS Batch API, includi un carattere jolly (\$1).
```
"Action": "batch:*"
```
Per un elenco di AWS Batch azioni, consulta [Azioni](https://docs.aws.amazon.com/batch/latest/APIReference/API_Operations.html) nel *riferimento AWS Batch API.*
## Nomi di risorse Amazon per AWS Batch
Ogni dichiarazione di policy IAM si applica alle risorse specificate utilizzando i rispettivi Amazon Resource Names (ARNs).
Un Amazon Resource Name (ARN) ha la seguente sintassi generale:
```
arn:aws:[service]:[region]:[account]:resourceType/resourcePath
```
*service*
Il servizio (ad esempio `batch`).
*Regione*
Il Regione AWS per la risorsa (ad esempio,`us-east-2`).
*account*
L' Account AWS ID, senza trattini (ad esempio,`123456789012`).
*resourceType*
Il tipo di risorsa (ad esempio `compute-environment`).
*resourcePath*
Un percorso che identifica la risorsa. Puoi usare un carattere jolly (\$1) nei tuoi percorsi.
AWS Batch Le operazioni API attualmente supportano le autorizzazioni a livello di risorsa su diverse operazioni API. Per ulteriori informazioni, consulta [Autorizzazioni supportate a livello di risorsa per le azioni API AWS Batch](batch-supported-iam-actions-resources.md). Per specificare tutte le risorse, o se un'azione API specifica non supporta ARNs, includi un carattere jolly (\$1) nell'elemento. `Resource`
```
"Resource": "*"
```
## Verifica che gli utenti dispongano delle autorizzazioni richieste
Prima di mettere in produzione una policy IAM, assicurati che conceda agli utenti le autorizzazioni per utilizzare le azioni e le risorse API specifiche di cui hanno bisogno.
Per fare ciò, crea innanzitutto un utente a scopo di test e allega la policy IAM all'utente di test. In seguito, effettua una richiesta come utente di test. nella console o con la AWS CLI.
**Nota**
Puoi anche testare le tue policy utilizzando [IAM Policy Simulator](https://policysim.aws.amazon.com/home/index.jsp?#). Per ulteriori informazioni sul simulatore di policy, consulta [Working with the IAM Policy Simulator](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies_testing-policies.html) nella *IAM* User Guide.
Se la policy non concede all'utente le autorizzazioni previste oppure è eccessivamente permissiva, puoi modificarla in base alle esigenze. Ripeti il test fino a ottenere i risultati desiderati.
**Importante**
La propagazione delle modifiche alla policy e la loro validità potrebbe richiedere alcuni minuti. Pertanto, ti consigliamo di attendere almeno cinque minuti prima di testare gli aggiornamenti delle policy.
Se una verifica dell'autorizzazione ha esito negativo, la richiesta restituisce un messaggio codificato con informazioni di diagnostica. Il messaggio può essere decodificato tramite l'operazione `DecodeAuthorizationMessage`. Per ulteriori informazioni, consulta [DecodeAuthorizationMessage](https://docs.aws.amazon.com/STS/latest/APIReference/API_DecodeAuthorizationMessage.html)l'*AWS Security Token Service API Reference* e [decode-authorization-message](https://docs.aws.amazon.com/cli/latest/reference/sts/decode-authorization-message.html)il *AWS CLI Command Reference*.
# Risorsa: politiche di esempio per AWS Batch
Puoi creare policy IAM specifiche per limitare le chiamate e le risorse a cui hanno accesso gli utenti del tuo account. Quindi, puoi allegare tali politiche agli utenti.
Quando alleghi una politica a un utente o a un gruppo di utenti, la politica consente o nega l'autorizzazione degli utenti per attività specifiche su risorse specifiche. Per ulteriori informazioni, consulta [Autorizzazioni e politiche nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/PermissionsAndPolicies.html) per l'*utente IAM*. Per istruzioni su come gestire e creare policy IAM personalizzate, consulta [Managing IAM Policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html).
Gli esempi seguenti mostrano le dichiarazioni politiche che puoi utilizzare per controllare le autorizzazioni di cui dispongono gli AWS Batch utenti.
**Topics**
+ [Accesso in sola lettura](iam-example-read-only.md)
+ [Risorsa: limita utente, immagine, privilegio, ruolo](iam-example-job-def.md)
+ [Limita l'invio di lavori](iam-example-restrict-job-submission.md)
+ [Limita a una coda di lavoro](iam-example-restrict-job-queue.md)
+ [Nega l'azione quando tutte le condizioni corrispondono alle stringhe](iam-example-job-def-deny-all-image-logdriver.md)
+ [Risorsa: nega l'azione quando i tasti condizionali corrispondono alle stringhe](iam-example-job-def-deny-any-image-logdriver.md)
+ [Usa il tasto `batch:ShareIdentifier` condizione](iam-example-share-identifier.md)
+ [Gestisci le risorse di SageMaker intelligenza artificiale con AWS Batch](iam-example-full-access-service-environment.md)
+ [Limita l'invio di lavori tramite i tag delle risorse](iam-example-restrict-job-submission-by-tags.md)
# Risorsa: accesso in sola lettura per AWS Batch
La seguente politica concede agli utenti le autorizzazioni per utilizzare tutte le azioni AWS Batch API con un nome che inizia con e. `Describe` `List`
A meno che un'altra dichiarazione non conceda loro l'autorizzazione a farlo, gli utenti non sono autorizzati a eseguire alcuna azione sulle risorse. Per impostazione predefinita, viene loro negata l'autorizzazione a utilizzare le azioni API.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:Describe*",
"batch:List*",
"batch:Get*"
],
"Resource": "*"
}
]
}
```
------
# Risorsa: limita all'utente POSIX, all'immagine Docker, al livello di privilegio e al ruolo nell'invio del lavoro
La seguente politica consente a un utente POSIX di gestire il proprio set di definizioni di lavoro limitate.
Utilizzate la prima e la seconda istruzione per registrare e annullare la registrazione di qualsiasi nome di definizione di lavoro il cui nome è preceduto da. *JobDefA\$1*
La prima istruzione utilizza inoltre le chiavi di contesto condizionali per impostare restrizioni per utente POSIX, stato con privilegi, valori immagine container nelle `containerProperties` di definizione del processo. Per ulteriori informazioni, consulta [RegisterJobDefinition](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html) nella *documentazione di riferimento dell’API AWS Batch *. In questo esempio, le definizioni dei job possono essere registrate solo quando l'utente POSIX è impostato su. `nobody` Il flag privilegiato è impostato su. `false` Infine, l'immagine viene impostata su `myImage` un repository Amazon ECR.
**Importante**
Docker risolve il `user` parametro per quell'utente `uid` dall'interno dell'immagine del contenitore. Nella maggior parte dei casi, questo si trova nel `/etc/passwd` file all'interno dell'immagine del contenitore. Questa risoluzione dei nomi può essere evitata utilizzando `uid` valori diretti sia nella definizione del lavoro che in qualsiasi policy IAM associata. Sia le operazioni AWS Batch API che le chiavi condizionali `batch:User` IAM supportano valori numerici.
Utilizza la terza istruzione per limitare solo un ruolo specifico alla definizione di un lavoro.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"arn:aws:batch:us-east-2:999999999999:job-definition/JobDefA_*"
],
"Condition": {
"StringEquals": {
"batch:User": [
"nobody"
],
"batch:Image": [
"999999999999.dkr.ecr.us-east-2.amazonaws.com/myImage"
]
},
"Bool": {
"batch:Privileged": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"batch:DeregisterJobDefinition"
],
"Resource": [
"arn:aws:batch:us-east-2:999999999999:job-definition/JobDefA_*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::999999999999:role/MyBatchJobRole"
]
}
]
}
```
------
# Risorsa: Limita al prefisso di definizione del lavoro all'invio del lavoro
Utilizza la seguente politica per inviare lavori a qualsiasi coda di lavoro con qualsiasi nome di definizione di processo che inizi con. *JobDefA*
**Importante**
Quando si definisca l'accesso a livello di risorsa per l'invio del processo, è necessario fornire sia la coda processo sia i tipi di risorse di definizione processo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": [
"arn:aws:batch:us-east-2:111122223333:job-definition/JobDefA_*",
"arn:aws:batch:us-east-2:111122223333:job-queue/*"
]
}
]
}
```
------
# Risorsa: Limita a una coda di lavoro
Utilizza la seguente politica per inviare i lavori a una coda di lavori specifica denominata **queue1** con qualsiasi nome di definizione del processo.
**Importante**
Quando si definisca l'accesso a livello di risorsa per l'invio del processo, è necessario fornire sia la coda processo sia i tipi di risorse di definizione processo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": [
"arn:aws:batch:us-east-2:888888888888:job-definition/*",
"arn:aws:batch:us-east-2:888888888888:job-queue/queue1"
]
}
]
}
```
------
# Nega l'azione quando tutte le condizioni corrispondono alle stringhe
La seguente politica nega l'accesso al funzionamento dell'[https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html)API quando sia la chiave di condizione `batch:Image` (ID dell'immagine del contenitore) è "*string1*" sia la chiave di condizione `batch:LogDriver` (container log driver) è "». *string2* AWS Batch valuta le chiavi di condizione su ogni contenitore. Quando un lavoro si estende su più contenitori, ad esempio un processo parallelo a più nodi, è possibile che i contenitori abbiano configurazioni diverse. Se più chiavi di condizione vengono valutate in un'unica istruzione, vengono combinate utilizzando la logica. `AND` Pertanto, se una delle più chiavi di condizione non corrisponde a un contenitore, l'`Deny`effetto non viene applicato a quel contenitore. Piuttosto, un contenitore diverso nello stesso lavoro potrebbe essere negato.
Per l'elenco delle chiavi di condizione per AWS Batch, vedi [Condition keys for AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-policy-keys) nel *Service Authorization Reference*. Ad eccezione di`batch:ShareIdentifier`, tutte le chiavi di `batch` condizione possono essere utilizzate in questo modo. La chiave di `batch:ShareIdentifier` condizione è definita per un lavoro, non per una definizione di processo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
]
},
{
"Effect": "Deny",
"Action": "batch:RegisterJobDefinition",
"Resource": "*",
"Condition": {
"StringEquals": {
"batch:Image": "string1",
"batch:LogDriver": "string2"
}
}
}
]
}
```
------
# Risorsa: nega l'azione quando i tasti condizionali corrispondono alle stringhe
La seguente politica nega l'accesso all'operazione [https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html)API quando la chiave di condizione `batch:Image` (ID dell'immagine del contenitore) è "*string1*" o la chiave di condizione `batch:LogDriver` (container log driver) è "». *string2* Quando un lavoro si estende su più contenitori, ad esempio un processo parallelo a più nodi, è possibile che i contenitori abbiano configurazioni diverse. Se più chiavi di condizione vengono valutate in un'unica istruzione, vengono combinate utilizzando la logica. `AND` Pertanto, se una delle più chiavi di condizione non corrisponde a un contenitore, l'`Deny`effetto non viene applicato a quel contenitore. Piuttosto, un contenitore diverso nello stesso lavoro potrebbe essere negato.
Per l'elenco delle chiavi di condizione per AWS Batch, vedi [Condition keys for AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-policy-keys) nel *Service Authorization Reference*. Ad eccezione di`batch:ShareIdentifier`, tutte le chiavi di `batch` condizione possono essere utilizzate in questo modo. (La chiave di `batch:ShareIdentifier` condizione è definita per un lavoro, non per una definizione di processo.)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
]
},
{
"Effect": "Deny",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"batch:Image": [
"string1"
]
}
}
},
{
"Effect": "Deny",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"batch:LogDriver": [
"string2"
]
}
}
}
]
}
```
------
# Risorsa: utilizza la chiave di `batch:ShareIdentifier` condizione
Utilizza la seguente politica per inviare i lavori che utilizzano la definizione del `jobDefA` processo alla coda dei `jobqueue1` lavori con l'identificatore di `lowCpu` condivisione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": [
"arn:aws:batch:us-east-2:555555555555:job-definition/JobDefA",
"arn:aws:batch:us-east-2:555555555555:job-queue/jobqueue1"
],
"Condition": {
"StringEquals": {
"batch:ShareIdentifier": [
"lowCpu"
]
}
}
}
]
}
```
------
# Gestisci le risorse di SageMaker intelligenza artificiale con AWS Batch
Questa politica consente di AWS Batch gestire le risorse di SageMaker intelligenza artificiale.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAWSBatchWithSagemaker",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "sagemaker-queuing.batch.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com"
]
}
}
}
]
}
```
------
# Risorsa: limita l'invio dei lavori tramite i tag delle risorse sulla definizione del lavoro e sulla coda dei lavori
Utilizza la seguente politica per inviare lavori solo quando sia la coda dei lavori ha il tag `Environment=dev` che la definizione del lavoro ha il tag. `Project=calc` Questa politica dimostra come utilizzare i tag delle risorse per controllare l'accesso alle AWS Batch risorse durante l'invio dei lavori.
**Importante**
Quando si inviano lavori con politiche che valutano i tag delle risorse per la definizione dei processi, è necessario inviare lavori utilizzando il formato di revisione delle definizioni di lavoro (). `job-definition:revision` Se invii lavori senza specificare una revisione, i tag di definizione dei processi non verranno valutati, il che potrebbe aggirare i controlli di accesso previsti. Lo `*:*` schema della risorsa ARN impone che gli invii includano una revisione, garantendo che le politiche relative ai tag siano sempre applicate in modo efficace.
Questa politica utilizza due istruzioni separate perché applica condizioni di tag diverse a diversi tipi di risorse. Quando si definisca l'accesso a livello di risorsa per l'invio del processo, è necessario fornire sia la coda processo sia i tipi di risorse di definizione processo.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "batch:SubmitJob",
"Resource": "arn:aws:batch:*:*:job-queue/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Environment": "dev"
}
}
},
{
"Effect": "Allow",
"Action": "batch:SubmitJob",
"Resource": "arn:aws:batch:*:*:job-definition/*:*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Project": "calc"
}
}
}
]
}
```
# Risorsa: politica AWS Batch gestita
AWS Batch fornisce una politica gestita che è possibile allegare agli utenti. Questa policy fornisce l'autorizzazione all'uso AWS Batch delle risorse e delle operazioni API. Puoi applicare questa policy direttamente oppure utilizzarla come punto di partenza per la creazione delle tue policy. Per ulteriori informazioni su ciascuna operazione API menzionata in queste politiche, consulta [Azioni](https://docs.aws.amazon.com/batch/latest/APIReference/API_Operations.html) nell'*AWS Batch API Reference*.
## AWSBatchFullAccess
Questa politica consente l'accesso completo dell'amministratore a AWS Batch.
Per visualizzare il codice JSON della policy, consulta [AWSBatchFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchFullAccess.html)la [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
# AWS Batch Ruolo di esecuzione IAM
Il ruolo di esecuzione concede al contenitore e AWS Fargate agli agenti Amazon ECS l'autorizzazione a effettuare chiamate AWS API per tuo conto.
**Nota**
Il ruolo di esecuzione è supportato dall'agente container Amazon ECS versione 1.16.0 e successive.
Il ruolo di esecuzione IAM è richiesto in base ai requisiti dell'attività. Puoi avere più ruoli di esecuzione per scopi e servizi diversi associati al tuo account.
**Nota**
Per informazioni sul ruolo dell'istanza Amazon ECS, consulta[Ruolo dell'istanza Amazon ECS](instance_IAM_role.md). Per informazioni sui ruoli di servizio, consulta[Come AWS Batch funziona con IAM](security_iam_service-with-iam.md).
Amazon ECS fornisce la policy `AmazonECSTaskExecutionRolePolicy` gestita. Questa policy contiene le autorizzazioni necessarie per i casi d'uso comuni sopra descritti. Potrebbe essere necessario aggiungere politiche in linea al ruolo di esecuzione per i casi d'uso speciali descritti di seguito.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "*"
}
]
}
```
------
# Autorizzazioni supportate a livello di risorsa per le azioni API AWS Batch
Il termine *autorizzazioni a livello di risorsa* si riferisce alla capacità di specificare le risorse su cui gli utenti possono eseguire azioni. AWS Batch supporta parzialmente le autorizzazioni a livello di risorsa. Per alcune AWS Batch azioni, è possibile controllare quando gli utenti sono autorizzati a utilizzare tali azioni in base alle condizioni che devono essere soddisfatte. Puoi anche controllare in base alle risorse specifiche che gli utenti sono autorizzati a utilizzare. Ad esempio, è possibile concedere agli utenti le autorizzazioni per inviare processi, ma solo per una determinata coda di processo e solo con una definizione di processo specifica.
Per i dettagli sulle azioni e sui tipi di risorse definiti da AWS Batch, incluso il formato di ARNs per ogni tipo di risorsa, vedere Azioni, risorse e chiavi di condizione [AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html)nel *riferimento di autorizzazione del servizio*.
# Tutorial: Creare il ruolo di esecuzione IAM
Se il tuo account non dispone già di un ruolo di esecuzione IAM, utilizza i seguenti passaggi per creare il ruolo.
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel pannello di navigazione, seleziona **Roles** (Ruoli).
1. Selezionare **Create role (Crea ruolo)**.
1. Per il **tipo di entità affidabile**, scegli ** Servizio AWS**.
1. Per **Service o use case**, scegli **Elastic Container Service**. Quindi scegli nuovamente **Elastic Container Service Task**.
1. Scegli **Next (Successivo)**.
1. Per **le politiche di autorizzazione**, cerca **Amazon ECSTask ExecutionRolePolicy**.
1. Seleziona la casella di controllo a sinistra della ECSTask ExecutionRolePolicy politica di **Amazon**, quindi scegli **Avanti**.
1. Per **Nome ruolo**, inserisci `ecsTaskExecutionRole` e quindi scegli **Crea ruolo**.
# Tutorial: verifica il ruolo di esecuzione IAM
Utilizza la seguente procedura per verificare che il tuo account disponga già del ruolo di esecuzione IAM e allega la policy IAM gestita, se necessario.
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel pannello di navigazione, seleziona **Ruoli**.
1. Cerca l’elenco dei ruoli per `ecsTaskExecutionRole`. Se non riesci a trovare il ruolo, consulta[Tutorial: Creare il ruolo di esecuzione IAM](create-execution-role.md). Se hai trovato il ruolo, scegli il ruolo per visualizzare le politiche allegate.
1. Nella scheda **Autorizzazioni**, verifica che la policy ECSTask ExecutionRolePolicy gestita da **Amazon** sia associata al ruolo. Se la policy è allegata, il tuo ruolo di esecuzione è configurato correttamente. In caso contrario, la procedura riportata di seguito consente di collegare la policy.
1. Scegli **Aggiungi autorizzazioni**, quindi scegli **Allega politiche**.
1. Cerca **Amazon ECSTask ExecutionRolePolicy**.
1. Seleziona la casella a sinistra della ECSTask ExecutionRolePolicy politica di **Amazon** e scegli **Allega politiche**.
1. Scegli **Trust relationships (Relazioni di trust)**.
1. Verifica che la relazione di trust includa la policy seguente. Se la relazione di fiducia corrisponde alla politica seguente, il ruolo è configurato correttamente. Se la relazione di fiducia non corrisponde, scegli **Modifica politica di fiducia**, inserisci quanto segue e scegli **Aggiorna politica**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ecs-tasks.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Utilizzo di ruoli collegati ai servizi per AWS Batch
AWS Batch utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. AWS Batch I ruoli collegati ai servizi sono predefiniti AWS Batch e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
AWS Batch utilizza due diversi ruoli collegati ai servizi:
+ [AWSServiceRoleForBatch](using-service-linked-roles-batch-general.md)- Per AWS Batch operazioni che includono ambienti di elaborazione.
+ [AWSServiceRoleForAWSBatchWithSagemaker](using-service-linked-roles-batch-sagemaker.md)- Per la gestione e l'accodamento dei carichi di lavoro basati sull' SageMaker intelligenza artificiale.
**Topics**
+ [Utilizzo dei ruoli per AWS Batch](using-service-linked-roles-batch-general.md)
+ [Utilizzo dei ruoli per AWS Batch l'intelligenza artificiale SageMaker](using-service-linked-roles-batch-sagemaker.md)
# Utilizzo dei ruoli per AWS Batch
AWS Batch utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. AWS Batch I ruoli collegati ai servizi sono predefiniti AWS Batch e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione AWS Batch perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS Batch definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. AWS Batch Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM.
**Nota**
Effettua una delle seguenti operazioni per specificare un ruolo di servizio per un AWS Batch ambiente di calcolo.
Usa una stringa vuota per il ruolo di servizio. Ciò consente di AWS Batch creare il ruolo di servizio.
Specificare il ruolo di servizio nel seguente formato:`arn:aws:iam::account_number:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch`.
Per ulteriori informazioni, consulta [Nome del ruolo o ARN errati](invalid_compute_environment.md#invalid_service_role_arn) la Guida AWS Batch per l'utente.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. In questo modo proteggi AWS Batch le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
**Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta [AWS i servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi con **Sì** nella colonna Ruoli collegati ai servizi.** Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
## Autorizzazioni di ruolo collegate ai servizi per AWS Batch
AWS Batch utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForBatch**: consente di creare e gestire AWS Batch AWS risorse per conto dell'utente.
Il ruolo AWSService RoleForBatch collegato al servizio prevede che i seguenti servizi assumano il ruolo:
+ `batch.amazonaws.com`
La politica di autorizzazione dei ruoli denominata [BatchServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-BatchServiceRolePolicy)consente di AWS Batch completare le seguenti azioni sulle risorse specificate:
+ `autoscaling`— Consente di AWS Batch creare e gestire risorse Amazon EC2 Auto Scaling. AWS Batch crea e gestisce gruppi Amazon EC2 Auto Scaling per la maggior parte degli ambienti di elaborazione.
+ `ec2`— Consente di AWS Batch controllare il ciclo di vita delle istanze Amazon EC2, nonché di creare e gestire modelli e tag di avvio. AWS Batch crea e gestisce le richieste di EC2 Spot Fleet per alcuni ambienti di calcolo Spot EC2.
+ `ecs`- Consente di AWS Batch creare e gestire cluster Amazon ECS, definizioni di attività e attività per l'esecuzione dei lavori.
+ `eks`- Consente di AWS Batch descrivere la risorsa del cluster Amazon EKS per le convalide.
+ `iam`- Consente di AWS Batch convalidare e trasferire i ruoli forniti dal proprietario ad Amazon EC2, Amazon EC2 Auto Scaling e Amazon ECS.
+ `logs`— Consente di creare e gestire gruppi AWS Batch di log e flussi di log per i lavori. AWS Batch
Per consentire a utenti, gruppi o ruoli di creare, modificare o eliminare un ruolo orientato ai servizi, devi configurare le autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo collegato al servizio per AWS Batch
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un ambiente di elaborazione in Console di gestione AWS, the o nell' AWS API AWS CLI, AWS Batch crea automaticamente il ruolo collegato al servizio.
**Importante**
Questo ruolo collegato al servizio può apparire nell'account, se è stata completata un'operazione in un altro servizio che utilizza le caratteristiche supportate da questo ruolo. Se utilizzavi il AWS Batch servizio prima del 10 marzo 2021, quando ha iniziato a supportare ruoli collegati al servizio, hai AWS Batch creato il AWSService RoleForBatch ruolo nel tuo account. Per ulteriori informazioni, vedi [A new role appeared in my](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared). Account AWS
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando crei un ambiente di elaborazione, AWS Batch crea nuovamente il ruolo collegato al servizio per te.
## Modifica di un ruolo collegato al servizio per AWS Batch
AWS Batch non consente di modificare il ruolo collegato al AWSService RoleForBatch servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
**Per consentire a un'entità IAM di modificare la descrizione del ruolo collegato al servizio AWSService RoleForBatch **
Aggiungi la seguente dichiarazione alla politica delle autorizzazioni. Ciò consente all'entità IAM di modificare la descrizione di un ruolo collegato al servizio.
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
"Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}
```
## Eliminazione di un ruolo collegato al servizio per AWS Batch
Se non è più necessario utilizzare una caratteristica o un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare quel ruolo. In questo modo non sarà più presente un’entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.
**Per consentire a un'entità IAM di eliminare il ruolo collegato al servizio AWSService RoleForBatch **
Aggiungi la seguente dichiarazione alla politica delle autorizzazioni. Ciò consente all'entità IAM di eliminare un ruolo collegato al servizio.
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
"Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}
```
### Pulizia di un ruolo collegato ai servizi
Prima di poter utilizzare IAM per eliminare un ruolo collegato al servizio, devi prima confermare che il ruolo non abbia sessioni attive ed eliminare tutti gli ambienti di AWS Batch calcolo che utilizzano il ruolo in tutte le AWS regioni in un'unica partizione.
**Per verificare se il ruolo collegato al servizio dispone di una sessione attiva**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, scegli **Ruoli** e quindi il AWSService RoleForBatch nome (non la casella di controllo).
1. Nella pagina **Riepilogo**, seleziona **Consulente accessi** ed esamina l'attività recente per il ruolo collegato al servizio.
**Nota**
Se non sai se AWS Batch sta usando il AWSService RoleForBatch ruolo, puoi provare a eliminarlo. Se il servizio utilizza il ruolo, il ruolo non verrà eliminato. È possibile visualizzare le regioni in cui viene utilizzato il ruolo. Se il ruolo è in uso, prima di poterlo eliminare dovrai attendere il termine della sessione. Non puoi revocare la sessione per un ruolo collegato ai servizi.
**Per rimuovere AWS Batch le risorse utilizzate dal ruolo collegato al AWSService RoleForBatch servizio**
È necessario eliminare tutti gli ambienti di AWS Batch elaborazione che utilizzano il AWSService RoleForBatch ruolo in tutte le AWS regioni prima di poter eliminare il ruolo. AWSService RoleForBatch
1. Apri la AWS Batch console all'indirizzo [https://console.aws.amazon.com/batch/](https://console.aws.amazon.com/batch/).
1. Seleziona la Regione da utilizzare nella barra di navigazione.
1. Nel riquadro di navigazione, seleziona **Compute environments** (Ambienti di calcolo).
1. Seleziona l'ambiente di calcolo.
1. Scegliere **Disabilita**. Attendi che lo **Stato** passi a **DISABILITATO**.
1. Seleziona l'ambiente di calcolo.
1. Scegli **Elimina**. Conferma di voler eliminare l'ambiente di calcolo scegliendo **Elimina ambiente di calcolo**.
1. Ripeti i passaggi da 1 a 7 per tutti gli ambienti di calcolo che utilizzano il ruolo collegato ai servizi in tutte le regioni.
### Eliminazione di un ruolo collegato al servizio in IAM (Console)
Puoi utilizzare la console IAM per eliminare un ruolo collegato ai servizi.
**Per eliminare un ruolo collegato ai servizi (console)**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Nel pannello di navigazione della console IAM seleziona **Ruoli**. Quindi seleziona la casella di controllo accanto a AWSServiceRoleForBatch, non il nome o la riga stessa.
1. Scegli **Delete role (Elimina ruolo)**.
1. Nella finestra di dialogo di conferma controlla i dati relativi all'ultimo accesso ai servizi, che indicano quando ognuno dei ruoli selezionati ha effettuato l'accesso a un Servizio AWS. In questo modo potrai verificare se il ruolo è attualmente attivo. Se desideri procedere, seleziona **Yes, Delete (Sì, elimina)** per richiedere l'eliminazione del ruolo collegato ai servizi.
1. Controlla le notifiche della console IAM per monitorare lo stato dell'eliminazione del ruolo collegato ai servizi. Poiché l'eliminazione del ruolo collegato ai servizi IAM è asincrona, una volta richiesta l'eliminazione del ruolo, il task di eliminazione può essere eseguito correttamente o meno.
+ Se il task viene eseguito correttamente, il ruolo viene rimosso dall'elenco e nella parte superiore della pagina viene visualizzata una notifica di completamento.
+ Se il task non viene eseguito correttamente, puoi scegliere **View details (Visualizza dettagli)** o **View Resources (Visualizza risorse)** dalle notifiche per capire perché l'eliminazione non è stata effettuata. Se l'eliminazione non viene eseguita perché il ruolo sta utilizzando le risorse del servizio, la notifica include un elenco di risorse, se il servizio restituisce questa informazione. A questo punto puoi [eliminare le risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) e richiedere nuovamente l'eliminazione.
**Nota**
In base alle informazioni restituite dal servizio, è possibile che sia necessario ripetere questo processo diverse volte. Ad esempio, il ruolo collegato ai servizi potrebbe utilizzare sei risorse e il servizio potrebbe restituire informazioni su cinque di esse. Se elimini le cinque risorse e richiedi nuovamente l'eliminazione del ruolo, l'eliminazione non viene eseguita correttamente e il servizio segnala la risorsa rimanente. Un servizio può restituire tutte le risorse, solo alcune o nessuna.
+ Se il task non viene eseguito e la notifica non include un elenco di risorse, il servizio potrebbe non restituire questa informazione. Per scoprire come eliminare le risorse per quel servizio, consulta [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova il servizio nella tabella e seleziona il link **Yes (Sì)** per visualizzare la documentazione relativa al ruolo collegato ai servizi per quel servizio.
### Eliminazione di un ruolo collegato al servizio in IAM ()AWS CLI
È possibile utilizzare i comandi IAM di AWS Command Line Interface per eliminare un ruolo collegato al servizio.
**Per eliminare un ruolo collegato ai servizi (CLI)**
1. Poiché un ruolo collegato ai servizi non può essere eliminato se è in uso o se a esso sono associate delle risorse, occorre inviare una richiesta di eliminazione. Se queste condizioni non sono soddisfatte, la richiesta può essere rifiutata. Acquisisci il valore di `deletion-task-id`dalla risposta per controllare lo stato del task di eliminazione. Per inviare una richiesta di eliminazione per un ruolo collegato ai servizi, digita il seguente comando:
```
$ aws iam delete-service-linked-role --role-name AWSServiceRoleForBatch
```
1. Digita il seguente comando per verificare lo stato del processo di eliminazione:
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
Lo stato di un task di eliminazione può essere `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`o `FAILED`. Se l'eliminazione non viene eseguita correttamente, la chiamata restituisce il motivo dell'errore per consentire all'utente di risolvere il problema. Se l'eliminazione non viene eseguita perché il ruolo sta utilizzando le risorse del servizio, la notifica include un elenco di risorse, se il servizio restituisce questa informazione. A questo punto puoi [eliminare le risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) e richiedere nuovamente l'eliminazione.
**Nota**
In base alle informazioni restituite dal servizio, è possibile che sia necessario ripetere questo processo diverse volte. Ad esempio, il ruolo collegato ai servizi potrebbe utilizzare sei risorse e il servizio potrebbe restituire informazioni su cinque di esse. Se elimini le cinque risorse e richiedi nuovamente l'eliminazione del ruolo, l'eliminazione non viene eseguita correttamente e il servizio segnala la risorsa rimanente. Un servizio potrebbe restituire tutte le risorse, alcune. Oppure, potrebbe non riportare alcuna risorsa. Per informazioni su come ripulire le risorse per un servizio che non riporta alcuna risorsa, consulta [AWS Servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova il servizio nella tabella e seleziona il link **Yes (Sì)** per visualizzare la documentazione relativa al ruolo collegato ai servizi per quel servizio.
### Eliminazione di un ruolo collegato al servizio in IAM (API)AWS
È possibile utilizzare l'API di IAM; per eliminare un ruolo collegato ai servizi.
**Per eliminare un ruolo collegato ai servizi (API)**
1. Per inviare una richiesta di eliminazione per un ruolo collegato ai servizi, chiamare [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html). Nella richiesta, specifica il nome del AWSService RoleForBatch ruolo.
Poiché un ruolo collegato ai servizi non può essere eliminato se è in uso o se a esso sono associate delle risorse, occorre inviare una richiesta di eliminazione. Se queste condizioni non sono soddisfatte, la richiesta può essere rifiutata. Acquisisci il valore di `DeletionTaskId`dalla risposta per controllare lo stato del task di eliminazione.
1. Chiamare [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html) per controllare lo stato dell'eliminazione. Nella richiesta, specificare il `DeletionTaskId`.
Lo stato di un task di eliminazione può essere `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`o `FAILED`. Se l'eliminazione non viene eseguita correttamente, la chiamata restituisce il motivo dell'errore per consentire all'utente di risolvere il problema. Se l'eliminazione non viene eseguita perché il ruolo sta utilizzando le risorse del servizio, la notifica include un elenco di risorse, se il servizio restituisce questa informazione. A questo punto puoi [eliminare le risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) e richiedere nuovamente l'eliminazione.
**Nota**
In base alle informazioni restituite dal servizio, è possibile che sia necessario ripetere questo processo diverse volte. Ad esempio, il ruolo collegato ai servizi potrebbe utilizzare sei risorse e il servizio potrebbe restituire informazioni su cinque di esse. Se elimini le cinque risorse e richiedi nuovamente l'eliminazione del ruolo, l'eliminazione non viene eseguita correttamente e il servizio segnala la risorsa rimanente. Un servizio può restituire tutte le risorse, solo alcune o nessuna. Per scoprire come eliminare le risorse per un servizio che non restituisce nessuna risorsa, consulta [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova il servizio nella tabella e seleziona il link **Yes (Sì)** per visualizzare la documentazione relativa al ruolo collegato ai servizi per quel servizio.
## Regioni supportate per i ruoli AWS Batch collegati ai servizi
AWS Batch supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta la pagina relativa agli [endpoint AWS Batch](https://docs.aws.amazon.com/general/latest/gr/batch.html#batch_region).
# Utilizzo dei ruoli per AWS Batch l'intelligenza artificiale SageMaker
AWS Batch utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. AWS Batch I ruoli collegati ai servizi sono predefiniti AWS Batch e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione AWS Batch perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS Batch definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. AWS Batch Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun’altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. In questo modo proteggi AWS Batch le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
**Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta [AWS i servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi con **Sì** nella colonna Ruoli collegati ai servizi.** Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
## Autorizzazioni di ruolo collegate ai servizi per AWS Batch
AWS Batch utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForAWSBatchWithSagemaker**: consente di AWS Batch mettere in coda e gestire SageMaker i lavori di formazione per tuo conto.
Il ruolo AWSService RoleFor AWSBatch WithSagemaker collegato al servizio prevede che i seguenti servizi assumano il ruolo:
+ `sagemaker-queuing.batch.amazonaws.com`
La politica di autorizzazione dei ruoli consente di AWS Batch completare le seguenti azioni sulle risorse specificate:
+ `sagemaker`— Consente di AWS Batch gestire i lavori di SageMaker formazione, trasformare i lavori e altre risorse di SageMaker intelligenza artificiale.
+ `iam:PassRole`— Consente di AWS Batch trasferire ruoli di esecuzione definiti dal cliente all' SageMaker IA per l'esecuzione del lavoro. Il vincolo di risorse consente di trasferire ruoli ai servizi di intelligenza artificiale. SageMaker
Per consentire a utenti, gruppi o ruoli di creare, modificare o eliminare un ruolo orientato ai servizi, devi configurare le autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo collegato al servizio per AWS Batch
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un ambiente di servizio utilizzando `CreateServiceEnvironment` in Console di gestione AWS, the o l' AWS API AWS CLI, AWS Batch crea automaticamente il ruolo collegato al servizio.
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando crei un ambiente di servizio utilizzando`CreateServiceEnvironment`, AWS Batch crea nuovamente il ruolo collegato al servizio per te.
Per visualizzare il codice JSON della policy, consulta [AWSBatchServiceRolePolicyForSageMaker](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchServiceRolePolicyForSageMaker.html)la Guida di riferimento per [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## Modifica di un ruolo collegato al servizio per AWS Batch
AWS Batch non consente di modificare il ruolo collegato al AWSService RoleFor AWSBatch WithSagemaker servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per AWS Batch
Se non è più necessario utilizzare una caratteristica o un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare quel ruolo. In questo modo non sarà più presente un’entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.
### Pulizia di un ruolo collegato ai servizi
Prima di poter utilizzare IAM per eliminare un ruolo collegato al servizio, è necessario innanzitutto confermare che il ruolo non abbia sessioni attive ed eliminare tutti gli ambienti di servizio che utilizzano il ruolo in tutte le AWS regioni in un'unica partizione.
**Per verificare se il ruolo collegato al servizio dispone di una sessione attiva**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, scegli **Ruoli** e quindi il AWSService RoleFor AWSBatch WithSagemaker nome (non la casella di controllo).
1. Nella pagina **Riepilogo**, seleziona **Consulente accessi** ed esamina l'attività recente per il ruolo collegato al servizio.
**Nota**
Se non sai se AWS Batch sta usando il AWSService RoleFor AWSBatch WithSagemaker ruolo, puoi provare a eliminarlo. Se il servizio utilizza il ruolo, il ruolo non verrà eliminato. È possibile visualizzare le regioni in cui viene utilizzato il ruolo. Se il ruolo è in uso, prima di poterlo eliminare dovrai attendere il termine della sessione. Non puoi revocare la sessione per un ruolo collegato ai servizi.
**Per rimuovere AWS Batch le risorse utilizzate dal ruolo collegato al AWSService RoleFor AWSBatch WithSagemaker servizio**
È necessario dissociare tutte le code di lavoro da tutti gli ambienti di servizio, quindi è necessario eliminare tutti gli ambienti di servizio che utilizzano il AWSService RoleFor AWSBatch WithSagemaker ruolo in tutte le AWS regioni prima di poter eliminare il ruolo. AWSService RoleFor AWSBatch WithSagemaker
1. Apri la console all' AWS Batch indirizzo. [https://console.aws.amazon.com/batch/](https://console.aws.amazon.com/batch/)
1. Seleziona la Regione da utilizzare nella barra di navigazione.
1. Nel riquadro di navigazione, scegli **Ambienti**, quindi **Ambienti di servizio**.
1. Seleziona tutti gli **ambienti di servizio**.
1. Scegliere **Disabilita**. Attendi che lo **Stato** passi a **DISABILITATO**.
1. Seleziona l'ambiente di servizio.
1. Scegli **Elimina**. Conferma di voler eliminare l'ambiente di servizio selezionando **Elimina ambiente di servizio**.
1. Ripeti i passaggi da 1 a 7 per tutti gli ambienti di servizio che utilizzano il ruolo collegato ai servizi in tutte le regioni.
### Eliminazione di un ruolo collegato al servizio in IAM (Console)
Puoi utilizzare la console IAM per eliminare un ruolo collegato ai servizi.
**Per eliminare un ruolo collegato ai servizi (console)**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Nel pannello di navigazione della console IAM seleziona **Ruoli**. Quindi seleziona la casella di controllo accanto a AWSService RoleFor AWSBatchWithSagemaker, non il nome o la riga stessa.
1. Scegli **Delete role (Elimina ruolo)**.
1. Nella finestra di dialogo di conferma controlla i dati relativi all'ultimo accesso ai servizi, che indicano quando ognuno dei ruoli selezionati ha effettuato l'accesso a un Servizio AWS. In questo modo potrai verificare se il ruolo è attualmente attivo. Se desideri procedere, seleziona **Yes, Delete (Sì, elimina)** per richiedere l'eliminazione del ruolo collegato ai servizi.
1. Controlla le notifiche della console IAM per monitorare lo stato dell'eliminazione del ruolo collegato ai servizi. Poiché l'eliminazione del ruolo collegato ai servizi IAM è asincrona, una volta richiesta l'eliminazione del ruolo, il task di eliminazione può essere eseguito correttamente o meno.
+ Se il task viene eseguito correttamente, il ruolo viene rimosso dall'elenco e nella parte superiore della pagina viene visualizzata una notifica di completamento.
+ Se il task non viene eseguito correttamente, puoi scegliere **View details (Visualizza dettagli)** o **View Resources (Visualizza risorse)** dalle notifiche per capire perché l'eliminazione non è stata effettuata. Se l'eliminazione non viene eseguita perché il ruolo sta utilizzando le risorse del servizio, la notifica include un elenco di risorse, se il servizio restituisce questa informazione. A questo punto puoi [eliminare le risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) e richiedere nuovamente l'eliminazione.
**Nota**
In base alle informazioni restituite dal servizio, è possibile che sia necessario ripetere questo processo diverse volte. Ad esempio, il ruolo collegato ai servizi potrebbe utilizzare sei risorse e il servizio potrebbe restituire informazioni su cinque di esse. Se elimini le cinque risorse e richiedi nuovamente l'eliminazione del ruolo, l'eliminazione non viene eseguita correttamente e il servizio segnala la risorsa rimanente. Un servizio può restituire tutte le risorse, solo alcune o nessuna.
+ Se il task non viene eseguito e la notifica non include un elenco di risorse, il servizio potrebbe non restituire questa informazione. Per scoprire come eliminare le risorse per quel servizio, consulta [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova il servizio nella tabella e seleziona il link **Yes (Sì)** per visualizzare la documentazione relativa al ruolo collegato ai servizi per quel servizio.
### Eliminazione di un ruolo collegato al servizio in IAM ()AWS CLI
È possibile utilizzare i comandi IAM di AWS Command Line Interface per eliminare un ruolo collegato al servizio.
**Per eliminare un ruolo collegato ai servizi (CLI)**
1. Poiché un ruolo collegato ai servizi non può essere eliminato se è in uso o se a esso sono associate delle risorse, occorre inviare una richiesta di eliminazione. Se queste condizioni non sono soddisfatte, la richiesta può essere rifiutata. Acquisisci il valore di `deletion-task-id`dalla risposta per controllare lo stato del task di eliminazione. Per inviare una richiesta di eliminazione per un ruolo collegato ai servizi, digita il seguente comando:
```
$ aws iam delete-service-linked-role --role-name AWSServiceRoleForAWSBatchWithSagemaker
```
1. Digita il seguente comando per verificare lo stato del processo di eliminazione:
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
Lo stato di un task di eliminazione può essere `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`o `FAILED`. Se l'eliminazione non viene eseguita correttamente, la chiamata restituisce il motivo dell'errore per consentire all'utente di risolvere il problema. Se l'eliminazione non viene eseguita perché il ruolo sta utilizzando le risorse del servizio, la notifica include un elenco di risorse, se il servizio restituisce questa informazione. A questo punto puoi [eliminare le risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) e richiedere nuovamente l'eliminazione.
**Nota**
In base alle informazioni restituite dal servizio, è possibile che sia necessario ripetere questo processo diverse volte. Ad esempio, il ruolo collegato ai servizi potrebbe utilizzare sei risorse e il servizio potrebbe restituire informazioni su cinque di esse. Se elimini le cinque risorse e richiedi nuovamente l'eliminazione del ruolo, l'eliminazione non viene eseguita correttamente e il servizio segnala la risorsa rimanente. Un servizio potrebbe restituire tutte le risorse, alcune. Oppure, potrebbe non riportare alcuna risorsa. Per informazioni su come ripulire le risorse per un servizio che non riporta alcuna risorsa, consulta [AWS Servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova il servizio nella tabella e seleziona il link **Yes (Sì)** per visualizzare la documentazione relativa al ruolo collegato ai servizi per quel servizio.
### Eliminazione di un ruolo collegato al servizio in IAM (API)AWS
È possibile utilizzare l'API di IAM; per eliminare un ruolo collegato ai servizi.
**Per eliminare un ruolo collegato ai servizi (API)**
1. Per inviare una richiesta di eliminazione per un ruolo collegato ai servizi, chiamare [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html). Nella richiesta, specifica il nome del AWSService RoleFor AWSBatch WithSagemaker ruolo.
Poiché un ruolo collegato ai servizi non può essere eliminato se è in uso o se a esso sono associate delle risorse, occorre inviare una richiesta di eliminazione. Se queste condizioni non sono soddisfatte, la richiesta può essere rifiutata. Acquisisci il valore di `DeletionTaskId`dalla risposta per controllare lo stato del task di eliminazione.
1. Chiamare [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html) per controllare lo stato dell'eliminazione. Nella richiesta, specificare il `DeletionTaskId`.
Lo stato di un task di eliminazione può essere `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`o `FAILED`. Se l'eliminazione non viene eseguita correttamente, la chiamata restituisce il motivo dell'errore per consentire all'utente di risolvere il problema. Se l'eliminazione non viene eseguita perché il ruolo sta utilizzando le risorse del servizio, la notifica include un elenco di risorse, se il servizio restituisce questa informazione. A questo punto puoi [eliminare le risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) e richiedere nuovamente l'eliminazione.
**Nota**
In base alle informazioni restituite dal servizio, è possibile che sia necessario ripetere questo processo diverse volte. Ad esempio, il ruolo collegato ai servizi potrebbe utilizzare sei risorse e il servizio potrebbe restituire informazioni su cinque di esse. Se elimini le cinque risorse e richiedi nuovamente l'eliminazione del ruolo, l'eliminazione non viene eseguita correttamente e il servizio segnala la risorsa rimanente. Un servizio può restituire tutte le risorse, solo alcune o nessuna. Per scoprire come eliminare le risorse per un servizio che non restituisce nessuna risorsa, consulta [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova il servizio nella tabella e seleziona il link **Yes (Sì)** per visualizzare la documentazione relativa al ruolo collegato ai servizi per quel servizio.
## Regioni supportate per i ruoli AWS Batch collegati ai servizi
AWS Batch supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta la pagina relativa agli [endpoint AWS Batch](https://docs.aws.amazon.com/general/latest/gr/batch.html#batch_region).
# Ruolo dell'istanza Amazon ECS
AWS Batch gli ambienti di calcolo sono popolati con istanze di container Amazon ECS. Eseguono l'agente container Amazon ECS localmente. L'agente container Amazon ECS effettua chiamate a varie operazioni AWS API per tuo conto. Pertanto, le istanze di container che eseguono l'agente richiedono una politica e un ruolo IAM affinché questi servizi riconoscano che l'agente appartiene a te. È necessario creare un ruolo IAM e un profilo di istanza per le istanze del contenitore da utilizzare al momento del lancio. Altrimenti, non puoi creare un ambiente di calcolo e avviare istanze di container al suo interno. Questo requisito si applica alle istanze di container lanciate con o senza l'AMI ottimizzata Amazon ECS fornita da Amazon. Per ulteriori informazioni, consulta [Ruolo dell'istanza Amazon ECS](#instance_IAM_role) nella *Guida per lo sviluppatore di Amazon Elastic Container Service*.
**Topics**
+ [Verifica il ruolo dell'istanza Amazon ECS del tuo account](batch-check-ecsinstancerole.md)
# Verifica il ruolo dell'istanza Amazon ECS del tuo account
Il ruolo e il profilo dell'istanza di Amazon ECS vengono creati automaticamente durante la prima esecuzione della console. Tuttavia, puoi seguire questi passaggi per verificare se il tuo account ha già il ruolo e il profilo dell'istanza Amazon ECS. I passaggi seguenti spiegano anche come allegare la policy IAM gestita.
**Tutorial: verifica la presenza di `ecsInstanceRole` nella console IAM**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel pannello di navigazione, seleziona **Ruoli**.
1. Cerca l’elenco dei ruoli per `ecsInstanceRole`. Se il ruolo non esiste, usa i seguenti passaggi per crearlo.
1. Selezionare **Crea ruolo**.
1. Per **Tipo di entità attendibile**, seleziona **Servizio AWS**.
1. Per i **casi d'uso comuni**, scegli **EC2**.
1. Scegli **Next (Successivo)**.
1. Per **le politiche di autorizzazione**, cerca **Amazon EC2 ContainerServicefor EC2 Role**.
1. Seleziona la casella di controllo accanto ad **Amazon EC2 ContainerServicefor EC2 Role**, quindi scegli **Avanti**.
1. Per **Role Name (Nome ruolo)**, digita `ecsInstanceRole`, quindi scegli **Create Role (Crea ruolo)**.
**Nota**
Se utilizzi il per Console di gestione AWS creare un ruolo per Amazon EC2, la console crea un profilo di istanza con lo stesso nome del ruolo.
In alternativa, puoi utilizzare il AWS CLI per creare il ruolo `ecsInstanceRole` IAM. L'esempio seguente crea un ruolo IAM con una policy di fiducia e una policy AWS gestita.
**Tutorial: Creare un ruolo IAM e un profilo di istanza (AWS CLI)**
1. Crea la seguente politica di fiducia e salvala in un file di testo denominato`ecsInstanceRole-role-trust-policy.json`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": { "Service": "ec2.amazonaws.com"},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Utilizzate il comando [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html) per creare il `ecsInstanceRole` ruolo. Specificate la posizione del file delle politiche di fiducia nel `assume-role-policy-document` parametro.
```
$ aws iam create-role \
--role-name ecsInstanceRole \
--assume-role-policy-document file://ecsInstanceRole-role-trust-policy.json
```
1. Utilizzate il [create-instance-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/create-instance-profile.html)comando per creare un profilo di istanza denominato`ecsInstanceRole`.
**Nota**
È necessario creare ruoli e profili di istanza come azioni separate nell' AWS API AWS CLI and.
```
$ aws iam create-instance-profile --instance-profile-name ecsInstanceRole
```
Di seguito è riportata una risposta di esempio.
```
{
"InstanceProfile": {
"Path": "/",
"InstanceProfileName": "ecsInstanceRole",
"InstanceProfileId": "AIPAT46P5RDITREXAMPLE",
"Arn": "arn:aws:iam::123456789012:instance-profile/ecsInstanceRole",
"CreateDate": "2022-06-30T23:53:34.093Z",
"Roles": [], }
}
```
1. Utilizzate il comando [ add-role-to-instance-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/add-role-to-instance-profile.html) per aggiungere il `ecsInstanceRole` ruolo al profilo dell'`ecsInstanceRole`istanza.
```
aws iam add-role-to-instance-profile \
--role-name ecsInstanceRole --instance-profile-name ecsInstanceRole
```
1. Utilizzate il [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)comando per allegare la policy `AmazonEC2ContainerServiceforEC2Role` AWS gestita al `ecsInstanceRole` ruolo.
```
$ aws iam attach-role-policy \
--policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role \
--role-name ecsInstanceRole
```
# Ruolo della flotta spot di Amazon EC2
Se crei un ambiente di elaborazione gestito che utilizza istanze Spot Fleet di Amazon EC2, devi creare la policy. `AmazonEC2SpotFleetTaggingRole` Questa politica concede a Spot Fleet l'autorizzazione ad avviare, etichettare e chiudere le istanze per tuo conto. Specificare il ruolo nella richiesta di parco istanze Spot. È inoltre necessario disporre dei ruoli **AWSServiceRoleForEC2Spot** e **AWSServiceRoleForEC2SpotFleet**collegati ai servizi per Amazon EC2 Spot e Spot Fleet. Usa le seguenti istruzioni per creare tutti questi ruoli. *Per ulteriori informazioni, consulta [Using Service-Linked Roles](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) e [Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella IAM User Guide.*
**Topics**
+ [Crea ruoli per la flotta spot di Amazon EC2 nel Console di gestione AWS](spot-fleet-roles-console.md)
+ [Crea ruoli per la flotta spot di Amazon EC2 con AWS CLI](spot-fleet-roles-cli.md)
# Crea ruoli per la flotta spot di Amazon EC2 nel Console di gestione AWS
**Per creare il ruolo collegato ai servizi `AmazonEC2SpotFleetTaggingRole` IAM per Amazon EC2 Spot Fleet**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. **Per la **gestione degli accessi, scegli Ruoli**,**
1. Per **Ruoli**, scegli **Crea ruolo**.
1. Da **Seleziona entità attendibile** **per Tipo di entità affidabile**, scegli **Servizio AWS**.
1. **Per altri casi d'uso**, scegli EC2 Servizi AWS, quindi scegli **EC2** **- Spot Fleet** Tagging.
1. Scegli **Next (Successivo)**.
1. Da **Politiche di autorizzazione** per il nome della **politica**, verifica. `AmazonEC2SpotFleetTaggingRole`
1. Scegli **Next (Successivo)**.
1. Per **Denominare, rivedere e creare**:
1. Per **Nome ruolo**, inserisci un nome per identificare il ruolo.
1. Per **Descrizione**, inserisci una breve spiegazione della politica.
1. (Facoltativo) Per il **passaggio 1: seleziona le entità attendibili**, scegli **Modifica** per modificare il codice.
1. (Facoltativo) Per la **Fase 2: Aggiungere le autorizzazioni**, scegliete **Modifica** per modificare il codice.
1. (Facoltativo) Per **Aggiungi tag**, scegli **Aggiungi tag** per aggiungere tag alla risorsa.
1. Scegli **Crea ruolo**.
**Nota**
In passato, esistevano due policy gestite per il ruolo della flotta Spot di Amazon EC2.
**Amazon EC2 SpotFleetRole**: questa è la politica gestita originale per il ruolo Spot Fleet. Tuttavia, non ti consigliamo più di utilizzarlo con AWS Batch. Questa policy non supporta il tagging delle istanze Spot negli ambienti di elaborazione, necessario per utilizzare il ruolo collegato al `AWSServiceRoleForBatch` servizio. Se in precedenza hai creato un ruolo di Spot Fleet con questa politica, applica la nuova politica consigliata a quel ruolo. Per ulteriori informazioni, consulta [Istanze Spot non taggate al momento della creazione](spot-instance-no-tag.md).
**Amazon EC2 SpotFleetTaggingRole**: questo ruolo fornisce tutte le autorizzazioni necessarie per etichettare le istanze Spot di Amazon EC2. Usa questo ruolo per consentire l'applicazione di tag alle istanze Spot nei tuoi ambienti di elaborazione. AWS Batch
# Crea ruoli per la flotta spot di Amazon EC2 con AWS CLI
**Per creare il ruolo **Amazon EC2 SpotFleetTaggingRole** IAM per gli ambienti di elaborazione della tua flotta Spot**
1. Esegui il seguente comando con. AWS CLI
```
$ aws iam create-role --role-name AmazonEC2SpotFleetTaggingRole \
--assume-role-policy-document '{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "spotfleet.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}'
```
1. Per collegare la policy **Amazon EC2 SpotFleetTaggingRole** managed IAM al tuo EC2 SpotFleetTaggingRole ruolo **Amazon**, esegui il seguente comando con AWS CLI.
```
$ aws iam attach-role-policy \
--policy-arn \
arn:aws:iam::aws:policy/service-role/AmazonEC2SpotFleetTaggingRole \
--role-name \
AmazonEC2SpotFleetTaggingRole
```
**Per creare il ruolo collegato ai servizi `AWSServiceRoleForEC2Spot` IAM per Amazon EC2 Spot**
**Nota**
Se il ruolo collegato al servizio `AWSServiceRoleForEC2Spot` IAM esiste già, viene visualizzato un messaggio di errore simile al seguente.
```
An error occurred (InvalidInput) when calling the CreateServiceLinkedRole operation:
Service role name AWSServiceRoleForEC2Spot has been taken in this account, please try a different suffix.
```
+ Esegui il comando seguente con. AWS CLI
```
$ aws iam create-service-linked-role --aws-service-name spot.amazonaws.com
```
**Per creare il ruolo collegato ai servizi `AWSServiceRoleForEC2SpotFleet` IAM per Amazon EC2 Spot Fleet**
**Nota**
Se il ruolo collegato al servizio `AWSServiceRoleForEC2SpotFleet` IAM esiste già, viene visualizzato un messaggio di errore simile al seguente.
```
An error occurred (InvalidInput) when calling the CreateServiceLinkedRole operation:
Service role name AWSServiceRoleForEC2SpotFleet has been taken in this account, please try a different suffix.
```
+ Esegui il comando seguente con. AWS CLI
```
$ aws iam create-service-linked-role --aws-service-name spotfleet.amazonaws.com
```
# EventBridge Ruolo IAM
Amazon EventBridge offre un flusso quasi in tempo reale di eventi di sistema che descrivono i cambiamenti nelle AWS risorse. AWS Batch i posti di lavoro sono disponibili come obiettivi EventBridge . Grazie a semplici regole rapidamente configurabili, puoi abbinare eventi e inviargli processi di AWS Batch in risposta. Prima di poter inviare AWS Batch lavori con EventBridge regole e obiettivi, EventBridge devi disporre delle autorizzazioni per eseguire AWS Batch lavori per tuo conto.
**Nota**
Quando crei una regola nella EventBridge console che specifica una AWS Batch coda come destinazione, puoi creare questo ruolo. Per un esempio di procedura guidata, consulta [AWS Batch i posti di lavoro come EventBridge obiettivi](batch-cwe-target.md). Puoi creare il EventBridge ruolo manualmente utilizzando la console IAM. Per istruzioni, consulta [Creazione di un ruolo utilizzando policy di fiducia personalizzate (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) nella Guida per l'utente IAM.
La relazione di fiducia per il tuo ruolo EventBridge IAM deve fornire al responsabile del `events.amazonaws.com` servizio la capacità di assumere il ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Assicurati che la policy allegata al tuo ruolo EventBridge IAM consenta `batch:SubmitJob` le autorizzazioni sulle tue risorse. Nell'esempio seguente, AWS Batch fornisce la politica `AWSBatchServiceEventTargetRole` gestita per fornire queste autorizzazioni.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": "*"
}
]
}
```
------
# Crea un cloud privato virtuale
Le risorse di elaborazione nei tuoi ambienti di elaborazione richiedono l'accesso alla rete esterna per comunicare con gli endpoint del AWS Batch servizio Amazon ECS. Tuttavia, potresti avere lavori che desideri eseguire in sottoreti private. Per avere la flessibilità necessaria per eseguire lavori in una sottorete pubblica o privata, crea un VPC con sottoreti sia pubbliche che private.
Puoi usare Amazon Virtual Private Cloud (Amazon VPC) per lanciare AWS risorse in una rete virtuale definita da te. Questo argomento fornisce un collegamento alla procedura guidata di Amazon VPC e un elenco delle opzioni da selezionare.
## Crea un VPC
Per informazioni su come creare un Amazon VPC, consulta [Create a VPC only nella Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#create-vpc-vpc-only) *User Guide* e usa la seguente tabella per determinare quali opzioni selezionare.
| Opzione | Valore |
| --- | --- |
| Risorse da creare | Solo VPC |
| Name | Se lo desideri, puoi fornire un nome per il VPC. |
| IPv4 blocco CIDR | IPv4 Inserimento manuale CIDR La dimensione del blocco CIDR deve essere compresa tra /16 e /28. |
| IPv6 blocco CIDR | Nessun blocco IPv6 CIDR |
| Tenancy | Predefinita |
Per ulteriori informazioni sul servizio Amazon VPC, consulta [Cos'è Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/) nella *Guida per l'utente di Amazon VPC.*
## Fasi successive
Dopo aver creato il tuo VPC, considera i seguenti passaggi successivi:
+ Crea gruppi di sicurezza per le tue risorse pubbliche e private se richiedono l'accesso di rete in entrata. Per ulteriori informazioni, consulta [Utilizzo dei gruppi di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#working-with-security-groups) nella *Guida per l'utente di Amazon VPC*.
+ Crea un ambiente di elaborazione AWS Batch gestito che lanci risorse di elaborazione nel tuo nuovo VPC. Per ulteriori informazioni, consulta [Crea un ambiente di elaborazione](create-compute-environment.md). Se utilizzi la procedura guidata per la creazione dell'ambiente di calcolo nella AWS Batch console, puoi specificare il VPC appena creato e le sottoreti pubbliche o private in cui desideri avviare le tue istanze.
+ Crea una coda di AWS Batch lavoro mappata al tuo nuovo ambiente di calcolo. Per ulteriori informazioni, consulta [Creare una coda di lavoro](create-job-queue.md).
+ Crea una definizione per l'esecuzione dei processi. Per ulteriori informazioni, consulta [Creare una definizione di processo a nodo singolo](create-job-definition.md).
+ Invia un processo con la definizione del processo alla nuova coda dei processi. Questo lavoro arriva nell'ambiente di elaborazione che hai creato con il tuo nuovo VPC e le tue sottoreti. Per ulteriori informazioni, consulta [Tutorial: invia un lavoro](submit_job.md).
# Usa un endpoint di interfaccia per Access AWS Batch
Puoi usarlo AWS PrivateLink per creare una connessione privata tra il tuo VPC e. AWS Batch Puoi accedere AWS Batch come se fosse nel tuo VPC, senza l'uso di un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. Direct Connect Le istanze del tuo VPC non necessitano di indirizzi IP pubblici per accedervi. AWS Batch
Stabilisci questa connessione privata creando un *endpoint di interfaccia* attivato da AWS PrivateLink. In ciascuna sottorete viene creata un'interfaccia di rete endpoint da abilitare per l'endpoint di interfaccia. Queste sono interfacce di rete gestite dal richiedente che fungono da punto di ingresso per il traffico destinato a AWS Batch.
*Per ulteriori informazioni, consulta [Interface VPC Endpoints nella Guida](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html).AWS PrivateLink *
# Considerazioni per AWS Batch
*Prima di configurare un endpoint di interfaccia per AWS Batch, consulta le [proprietà e le limitazioni dell'endpoint dell'interfaccia nella Guida](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations).AWS PrivateLink *
AWS Batch supporta l'esecuzione di chiamate a tutte le sue azioni API tramite l'endpoint dell'interfaccia.
Prima di configurare gli endpoint VPC dell'interfaccia per AWS Batch, tieni presente le seguenti considerazioni:
+ I lavori che utilizzano il tipo di avvio delle risorse Fargate non richiedono l'interfaccia VPC endpoint per Amazon ECS, ma potrebbero essere necessari endpoint VPC di interfaccia per Amazon ECR, Secrets Manager o AWS Batch Amazon Logs descritti nei punti seguenti. CloudWatch
+ Per eseguire i job, devi creare gli endpoint VPC dell'interfaccia per Amazon ECS. Per ulteriori informazioni, consulta [Interface VPC Endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/vpc-endpoints.html) nella *Amazon Elastic Container Service* Developer Guide.
+ Per consentire ai tuoi lavori di estrarre immagini private da Amazon ECR, devi creare gli endpoint VPC di interfaccia per Amazon ECR. Per ulteriori informazioni, consulta [Endpoint VPC di interfaccia (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html) nella *Guida per l'utente di Amazon Elastic Container Registry*.
+ Per consentire ai lavori di estrarre dati sensibili da Secrets Manager, è necessario creare gli endpoint VPC di interfaccia per Secrets Manager. Per ulteriori informazioni, consulta [Utilizzo di Secrets Manager con endpoint VPC](https://docs.aws.amazon.com/secretsmanager/latest/userguide/vpc-endpoint-overview.html) nella *Guida per l'utente di Gestione dei segreti AWS *.
+ Se il tuo VPC non dispone di un gateway Internet e i tuoi job utilizzano il driver di `awslogs` registro per inviare le informazioni di registro ai CloudWatch registri, devi creare un endpoint VPC di interfaccia per Logs. CloudWatch Per ulteriori informazioni, consulta [Using CloudWatch Logs with Interface VPC](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html) Endpoints nella * CloudWatch Amazon* Logs User Guide.
+ I lavori che utilizzano le risorse EC2 richiedono che le istanze di container su cui vengono lanciate eseguano una versione `1.25.1` o successiva dell'agente container Amazon ECS. Per ulteriori informazioni, consulta le [versioni degli agenti container di Amazon ECS Linux](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-agent-versions.html) nella *Amazon Elastic Container Service Developer Guide*.
+ Gli endpoint VPC attualmente non supportano le richieste inter-Regionali. Assicurati di creare l'endpoint nella stessa regione in cui prevedi di inviare le chiamate API a AWS Batch.
+ Gli endpoint VPC supportano solo il DNS fornito da Amazon tramite Amazon Route 53. Se si desidera utilizzare il proprio DNS, è possibile usare l'inoltro condizionale sul DNS. Per ulteriori informazioni, consulta [Set opzioni DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) nella *Guida per l'utente di Amazon VPC*.
+ Il gruppo di sicurezza collegato all'endpoint VPC deve consentire le connessioni in entrata sulla porta 443 dalla sottorete privata del VPC.
+ AWS Batch non supporta gli endpoint dell'interfaccia VPC nei seguenti casi: Regioni AWS
+ Asia Pacifico (Osaka-Locale) (`ap-northeast-3`)
+ Asia Pacifico (Giacarta) (`ap-southeast-3`)
# Crea un endpoint di interfaccia per AWS Batch
Puoi creare un endpoint di interfaccia per AWS Batch utilizzare la console Amazon VPC o AWS Command Line Interface ().AWS CLI Per ulteriori informazioni, consulta la sezione [Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) nella *Guida per l'utente di AWS PrivateLink *.
Crea un endpoint di interfaccia per AWS Batch utilizzare i seguenti nomi di servizio:
+ **com.amazonaws.** *region***.batch**
+ **com.amazonaws.it.** *region***.batch-fips (per gli endpoint conformi a FIPS** *[, consulta endpoint e quote)AWS Batch](https://docs.aws.amazon.com/general/latest/gr/batch.html)*
Esempio:
```
com.amazonaws.us-east-2.batch
```
```
com.amazonaws.us-east-2.batch-fips
```
Nella partizione, `aws-cn` il formato è diverso:
```
cn.com.amazonaws.region.batch
```
Esempio:
```
cn.com.amazonaws.cn-northwest-1.batch
```
## Nomi DNS privati per AWS Batch gli endpoint di interfaccia
Se abiliti il DNS privato per l'endpoint dell'interfaccia, puoi utilizzare nomi DNS specifici a cui connetterti. Forniamo queste opzioni AWS Batch:
+ **lotto.** *region***.amazonaws.com**
+ **lotto.** *region***.api.aws**
Per gli endpoint conformi a FIPS:
+ **batch-fips.** *region***.api.aws**
+ **fips.batch.** *region***.amazonaws.com** *non è supportato*
*Per maggiori informazioni, consulta [Accedere a un servizio tramite un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint) nella Guida.AWS PrivateLink *
# Creazione di una policy dell' endpoint per l'endpoint dell'interfaccia
Una policy dell'endpoint è una risorsa IAM che è possibile allegare all'endpoint dell'interfaccia. La policy predefinita per gli endpoint consente l'accesso completo AWS Batch tramite l'endpoint dell'interfaccia. Per controllare l’accesso consentito ad AWS Batch dal VPC, collega una policy di endpoint personalizzata all’endpoint di interfaccia.
Una policy di endpoint specifica le informazioni riportate di seguito:
+ I principali che possono eseguire azioni (utenti e Account AWS ruoli IAM).
+ Le azioni che possono essere eseguite.
+ Le risorse in cui è possibile eseguire le operazioni.
Per ulteriori informazioni, consulta la sezione [Controllo dell'accesso ai servizi con policy di endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) nella *Guida di AWS PrivateLink *.
**Esempio: policy degli endpoint VPC per le azioni AWS Batch**
Di seguito è riportato l'esempio di una policy dell'endpoint personalizzata. Quando alleghi questa policy all'endpoint dell'interfaccia, concede l'accesso alle AWS Batch azioni elencate per tutti i principali su tutte le risorse.
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"batch:SubmitJob",
"batch:ListJobs",
"batch:DescribeJobs"
],
"Resource":"*"
}
]
}
```
# Convalida della conformità per AWS Batch
Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta la [Documentazione AWS sulla sicurezza](https://docs.aws.amazon.com/security/).
# Sicurezza dell'infrastruttura in AWS Batch
In quanto servizio gestito, AWS Batch è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizzate chiamate API AWS pubblicate per accedere AWS Batch attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
Puoi richiamare queste operazioni API da qualsiasi posizione di rete, AWS Batch ma supportano politiche di accesso basate sulle risorse, che possono includere restrizioni basate sull'indirizzo IP di origine. Puoi anche utilizzare AWS Batch le policy per controllare l'accesso da endpoint Amazon Virtual Private Cloud (Amazon VPC) specifici o specifici. VPCs In effetti, questo isola l'accesso alla rete a una determinata AWS Batch risorsa solo dal VPC specifico all'interno AWS della rete.
# Prevenzione del problema "confused deputy" tra servizi
Il confused deputy è un problema di sicurezza in cui un'entità che non dispone dell'autorizzazione per eseguire un'azione può costringere un'entità dotata di privilegi maggiori a eseguire l'azione. Nel AWS, l'impersonificazione intersettoriale può portare al confuso problema del vice. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l’accesso alle risorse dell’account.
Si consiglia di utilizzare [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)le chiavi di contesto della condizione [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale nelle politiche delle risorse per limitare le autorizzazioni che AWS Batch forniscono un altro servizio alla risorsa. Se il valore `aws:SourceArn` non contiene l'ID account, ad esempio un ARN di un bucket Amazon S3, è necessario utilizzare entrambe le chiavi di contesto delle condizioni globali per limitare le autorizzazioni. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali e il valore `aws:SourceArn` contiene l'ID account, il valore `aws:SourceAccount` e l’account nel valore `aws:SourceArn` deve utilizzare lo stesso ID account nella stessa dichiarazione di policy. Utilizzare `aws:SourceArn` se si desidera consentire l'associazione di una sola risorsa all'accesso tra servizi. Utilizzare `aws:SourceAccount` se si desidera consentire l’associazione di qualsiasi risorsa in tale account all’uso tra servizi.
Il valore di `aws:SourceArn` deve essere la risorsa che AWS Batch memorizza.
Il modo più efficace per proteggersi dal problema “confused deputy” è quello di utilizzare la chiave di contesto della condizione globale `aws:SourceArn` con l’ARN completo della risorsa. Se non si conosce l’ARN completo della risorsa o si scelgono più risorse, utilizzare la chiave di contesto della condizione globale `aws:SourceArn` con caratteri jolly (`*`) per le parti sconosciute dell’ARN. Ad esempio, `arn:aws:servicename:*:123456789012:*`.
Gli esempi seguenti mostrano come utilizzare le chiavi di contesto `aws:SourceArn` e `aws:SourceAccount` global condition AWS Batch per prevenire il confuso problema del vice.
## Esempio: ruolo per l'accesso a un solo ambiente di elaborazione
Il ruolo seguente può essere utilizzato solo per accedere a un ambiente di calcolo. Il nome del processo deve essere specificato in `*` quanto la coda dei lavori può essere associata a più ambienti di elaborazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "batch.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:batch:us-east-1:123456789012:compute-environment/testCE",
"arn:aws:batch:us-east-1:123456789012:job/*"
]
}
}
}
]
}
```
------
## Esempio: ruolo per l'accesso a più ambienti di elaborazione
Il seguente ruolo può essere utilizzato per accedere a più ambienti di elaborazione. Il nome del processo deve essere specificato in `*` quanto la coda dei lavori può essere associata a più ambienti di elaborazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "batch.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:batch:us-east-1:123456789012:compute-environment/*",
"arn:aws:batch:us-east-1:123456789012:job/*"
]
}
}
}
]
}
```
------
# Registrazione delle chiamate API con AWS Batch AWS CloudTrail
AWS Batch è integrato con AWS CloudTrail, un servizio che fornisce una registrazione delle azioni intraprese da un utente, un ruolo o un AWS servizio in AWS Batch. CloudTrail acquisisce tutte le chiamate API AWS Batch come eventi. Le chiamate acquisite includono chiamate dalla AWS Batch console e chiamate di codice alle operazioni AWS Batch API. Se crei un trail, puoi abilitare la distribuzione continua di CloudTrail eventi a un bucket Amazon S3, inclusi gli eventi per. AWS Batch Se non configuri un percorso, puoi comunque visualizzare gli eventi più recenti nella CloudTrail console nella cronologia degli **eventi**. Utilizzando le informazioni raccolte da CloudTrail, puoi determinare a quale richiesta è stata inviata AWS Batch, l'indirizzo IP da cui è stata effettuata, chi ha effettuato la richiesta, quando è stata effettuata e dettagli aggiuntivi.
Per ulteriori informazioni CloudTrail, consulta la [Guida AWS CloudTrail per l'utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
**Topics**
+ [AWS Batch informazioni in CloudTrail](service-name-info-in-cloudtrail.md)
+ [Riferimento: informazioni sulle voci dei file di AWS Batch registro](understanding-service-name-entries.md)
# AWS Batch informazioni in CloudTrail
CloudTrail è abilitato sul tuo AWS account al momento della creazione dell'account. Quando si verifica un'attività in AWS Batch, tale attività viene registrata in un CloudTrail evento insieme ad altri eventi AWS di servizio nella **cronologia degli eventi**. Puoi visualizzare, cercare e scaricare gli eventi recenti nel tuo AWS account. Per ulteriori informazioni, consulta [Visualizzazione degli eventi con la cronologia degli CloudTrail eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Per una registrazione continua degli eventi nel tuo AWS account, inclusi gli eventi di AWS Batch, crea un percorso. Un *trail* consente di CloudTrail inviare file di log a un bucket Amazon S3. Per impostazione predefinita, quando crei un percorso nella console, il percorso si applica a tutte le AWS regioni. Il trail registra gli eventi di tutte le regioni della AWS partizione e consegna i file di log al bucket Amazon S3 specificato. Inoltre, puoi configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei log. CloudTrail Per ulteriori informazioni, consulta gli argomenti seguenti:
+ [Panoramica della creazione di un trail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Servizi e integrazioni supportati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configurazione delle notifiche Amazon SNS per CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Ricezione di file di CloudTrail registro da più regioni](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [ricezione di file di CloudTrail registro da](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html) più account
Tutte le AWS Batch azioni vengono registrate CloudTrail e documentate nella versione più recente/ /. https://docs.aws.amazon.com/batch/ APIReference Ad esempio, le chiamate alle sezioni `[SubmitJob](https://docs.aws.amazon.com/batch/latest/APIReference/API_SubmitJob.html)`, `[ListJobs](https://docs.aws.amazon.com/batch/latest/APIReference/API_ListJobs.html)` e `[DescribeJobs](https://docs.aws.amazon.com/batch/latest/APIReference/API_DescribeJobs.html)` generano voci nei file di log CloudTrail .
Ogni evento o voce di log contiene informazioni sull’utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:
+ Se la richiesta è stata effettuata con le credenziali dell'utente IAM o root.
+ Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.
+ Se la richiesta è stata effettuata da un altro servizio. AWS
Per ulteriori informazioni, consulta [Elemento CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
# Riferimento: informazioni sulle voci dei file di AWS Batch registro
Un trail è una configurazione che consente la distribuzione di eventi come file di log in un bucket Amazon S3 specificato dall'utente. CloudTrail i file di registro contengono una o più voci di registro. Un evento rappresenta una singola richiesta da qualsiasi sorgente e include informazioni sull'azione richiesta, la data e l'ora dell'operazione, i parametri della richiesta e così via. I file di log di CloudTrail non sono una traccia di stack ordinata delle chiamate API pubbliche, pertanto non vengono visualizzati in un ordine specifico.
L'esempio seguente mostra una voce di CloudTrail registro che illustra l'`[CreateComputeEnvironment](https://docs.aws.amazon.com/batch/latest/APIReference/API_CreateComputeEnvironment.html)`azione.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE:admin",
"arn": "arn:aws:sts::012345678910:assumed-role/Admin/admin",
"accountId": "012345678910",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2017-12-20T00:48:46Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::012345678910:role/Admin",
"accountId": "012345678910",
"userName": "Admin"
}
}
},
"eventTime": "2017-12-20T00:48:46Z",
"eventSource": "batch.amazonaws.com",
"eventName": "CreateComputeEnvironment",
"awsRegion": "us-east-1",
"sourceIPAddress": "203.0.113.1",
"userAgent": "aws-cli/1.11.167 Python/2.7.10 Darwin/16.7.0 botocore/1.7.25",
"requestParameters": {
"computeResources": {
"subnets": [
"subnet-5eda8e04"
],
"tags": {
"testBatchTags": "CLI testing CE"
},
"desiredvCpus": 0,
"minvCpus": 0,
"instanceTypes": [
"optimal"
],
"securityGroupIds": [
"sg-aba9e8db"
],
"instanceRole": "ecsInstanceRole",
"maxvCpus": 128,
"type": "EC2"
},
"state": "ENABLED",
"type": "MANAGED",
"computeEnvironmentName": "Test"
},
"responseElements": {
"computeEnvironmentName": "Test",
"computeEnvironmentArn": "arn:aws:batch:us-east-1:012345678910:compute-environment/Test"
},
"requestID": "890b8639-e51f-11e7-b038-EXAMPLE",
"eventID": "874f89fa-70fc-4798-bc00-EXAMPLE",
"readOnly": false,
"eventType": "AwsApiCall",
"recipientAccountId": "012345678910"
}
```
# Risolvi i problemi AWS Batch di IAM
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con AWS Batch IAM.
**Topics**
+ [Non sono autorizzato a eseguire alcuna azione in AWS Batch](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Voglio consentire a persone esterne al mio AWS account di accedere alle mie AWS Batch risorse](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire alcuna azione in AWS Batch
Se ti Console di gestione AWS dice che non sei autorizzato a eseguire un'azione, devi contattare l'amministratore per ricevere assistenza. L'amministratore è la persona da cui si sono ricevuti il nome utente e la password.
Il seguente esempio di errore si verifica quando l'utente `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia, ma non dispone di autorizzazioni `batch:GetWidget` fittizie.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: batch:GetWidget on resource: my-example-widget
```
In questo caso, Mateo richiede al suo amministratore di aggiornare le policy per poter accedere alla risorsa `my-example-widget` utilizzando l'operazione `batch:GetWidget`. Per ulteriori informazioni sulla concessione delle autorizzazioni per il trasferimento di un ruolo, vedi [Concessione a un utente delle autorizzazioni per trasferire un ruolo a un servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html). AWS
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un errore che indica che non sei autorizzato a eseguire l'operazione `iam:PassRole`, le tue policy devono essere aggiornate per poter passare un ruolo a AWS Batch.
Alcuni Servizi AWS consentono di passare un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
L'errore di esempio seguente si verifica quando un utente IAM denominato `marymajor` cerca di utilizzare la console per eseguire un'operazione in AWS Batch. Tuttavia, l'operazione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne al mio AWS account di accedere alle mie AWS Batch risorse
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per concedere alle persone l'accesso alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se AWS Batch supporta queste funzionalità, consulta. [Come AWS Batch funziona con IAM](security_iam_service-with-iam.md)
+ Per scoprire come fornire l'accesso alle tue risorse attraverso Account AWS le risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.