Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione dell'accesso ad Amazon Braket
Questo capitolo descrive le autorizzazioni necessarie per eseguire Amazon Braket o per limitare l'accesso di utenti e ruoli specifici. Puoi concedere (o negare) le autorizzazioni richieste a qualsiasi utente o ruolo del tuo account. A tale scopo, allega la policy Amazon Braket appropriata a quell'utente o ruolo nel tuo account, come descritto nelle sezioni seguenti.
Come prerequisito, devi [abilitare Amazon Braket](https://docs.aws.amazon.com/braket/latest/developerguide/braket-enable-overview.html). Per abilitare Braket, assicurati di accedere come utente o ruolo con (1) autorizzazioni di amministratore o (2) che disponga della **AmazonBraketFullAccess**policy e delle autorizzazioni per creare bucket Amazon Simple Storage Service (Amazon S3).
**Topics**
+ [Risorse Amazon Braket](#resources)
+ [Notebook e ruoli](#notebooks-and-roles)
+ [AWS politiche gestite per Amazon Braket](security-iam-aws-managed-policies.md)
+ [Limita l'accesso degli utenti a determinati dispositivi](restrict-access.md)
+ [Limita l'accesso degli utenti a determinate istanze del notebook](restrict-access-notebook-instances.md)
+ [Limita l'accesso degli utenti a determinati bucket S3](restrict-access-s3-buckets.md)
## Risorse Amazon Braket
Braket crea un tipo di risorsa: la risorsa *quantum-task*. Il nome della AWS risorsa (ARN) per questo tipo di risorsa è il seguente:
+ **Nome risorsa::** *:Service AWS: :Braket*
+ **ARN Regex: arn:** *\$1 \$1Partition\$1 :braket: \$1 \$1Region\$1 :\$1 \$1Account\$1 :quantum-task/\$1 \$1\$1 RandomId*
## Notebook e ruoli
Puoi usare il tipo di risorsa notebook in Braket. Un notebook è una risorsa SageMaker AI di Amazon che Braket è in grado di condividere. Per utilizzare un notebook con Braket, devi specificare un ruolo IAM con un nome che inizia con. `AmazonBraketServiceSageMakerNotebook`
Per creare un notebook, è necessario utilizzare un ruolo con autorizzazioni di amministratore o a cui sia associata la seguente politica in linea.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTheRole",
"Effect": "Allow",
"Action": "iam:CreateRole",
"Resource": "arn:aws:iam::*:role/service-role/AmazonBraketServiceSageMakerNotebookRole*"
},
{
"Sid": "CreateThePolicy",
"Effect": "Allow",
"Action": "iam:CreatePolicy",
"Resource": [
"arn:aws:iam::*:policy/service-role/AmazonBraketServiceSageMakerNotebookAccess*",
"arn:aws:iam::*:policy/service-role/AmazonBraketServiceSageMakerNotebookRole*"
]
},
{
"Sid": "AttachTheRolePolicy",
"Effect": "Allow",
"Action": "iam:AttachRolePolicy",
"Resource": "arn:aws:iam::*:role/service-role/AmazonBraketServiceSageMakerNotebookRole*",
"Condition": {
"ArnLike": {
"iam:PolicyARN": [
"arn:aws:iam::aws:policy/AmazonBraketFullAccess",
"arn:aws:iam::*:policy/service-role/AmazonBraketServiceSageMakerNotebookAccess*",
"arn:aws:iam::*:policy/service-role/AmazonBraketServiceSageMakerNotebookRole*"
]
}
}
}
]
}
```
------
Per creare il ruolo, segui i passaggi indicati nella pagina [Crea un taccuino](https://docs.aws.amazon.com/braket/latest/developerguide/braket-get-started-create-notebook.html) o chiedi all'amministratore di crearlo per te. Assicurati che la **AmazonBraketFullAccess**policy sia allegata.
Dopo aver creato il ruolo, puoi riutilizzarlo per tutti i notebook che lancerai in futuro.
# AWS politiche gestite per Amazon Braket
Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
**Topics**
+ [AWS politica gestita: AmazonBraketFullAccess](#about-amazonbraketfullaccess)
+ [AWS politica gestita: AmazonBraketJobsExecutionPolicy](#about-amazonbraketjobsexecution)
+ [AWS politica gestita: AmazonBraketServiceRolePolicy](#about-amazonbraketservicerolepolicy)
+ [Amazon Braket si aggiorna alle AWS politiche gestite](#braket-aws-managed-policy-updates)
## AWS politica gestita: AmazonBraketFullAccess
La **AmazonBraketFullAccess**policy concede le autorizzazioni per le operazioni di Amazon Braket, incluse le autorizzazioni per le seguenti attività:
+ **Scarica contenitori da Amazon Elastic Container Registry**: per leggere e scaricare immagini di container utilizzate per la funzionalità Amazon Braket Hybrid Jobs. I contenitori devono essere conformi al formato «arn:aws:ecr: :repository/amazon-braket».
+ **Conserva AWS CloudTrail i log**: per tutte le azioni di *descrizione*, recupero ed *elenco, oltre all'avvio e all'interruzione delle *query*, al test dei filtri delle metriche* e al filtraggio degli eventi di registro. Il file di AWS CloudTrail registro contiene un record di tutte le API attività di Amazon Braket che si verificano nel tuo account.
+ **Utilizza i ruoli per controllare le risorse**: per creare un ruolo collegato al servizio nel tuo account. Il ruolo collegato al servizio ha accesso alle risorse per AWS tuo conto. Può essere utilizzato solo dal servizio Amazon Braket. Inoltre, per trasferire i ruoli IAM ad Amazon Braket `CreateJob` API e creare un ruolo e allegare una policy mirata AmazonBraketFullAccess al ruolo.
+ **Crea gruppi di log, eventi di log e gruppi di log di query per gestire i file di log di utilizzo per il tuo account**: per creare, archiviare e visualizzare informazioni di registrazione sull'utilizzo di Amazon Braket nel tuo account. Interroga le metriche sui gruppi di log dei lavori ibridi. Comprende il percorso Braket corretto e consenti l'inserimento dei dati di registro. Inserisci i dati metrici. CloudWatch
+ **Crea e archivia dati nei bucket Amazon S3 ed elenca tutti i bucket — Per creare bucket** *S3, elenca i bucket S3 nel tuo account e inserisci oggetti e ottieni oggetti da qualsiasi bucket del tuo account il cui nome inizia con amazon-braket-.* Queste autorizzazioni sono necessarie per consentire a Braket di inserire i file contenenti i risultati di attività quantistiche elaborate nel bucket e di recuperarli dal bucket.
+ **Passa i ruoli IAM: per passare i ruoli IAM** a. `CreateJob` API
+ **Amazon SageMaker AI Notebook**: per creare e gestire istanze di SageMaker notebook limitate alla risorsa da «arn:aws:sagemaker: ::notebook-instance/amazon-braket-».
+ **Convalida delle quote di servizio**[: per creare notebook SageMaker AI e lavori Amazon Braket Hybrid, il numero di risorse non può superare le quote del tuo account.](braket-quotas.md)
+ **Visualizza i prezzi dei prodotti**: esamina e pianifica i costi dell'hardware quantistico prima di inviare i carichi di lavoro.
Per visualizzare le autorizzazioni per questa policy, consulta [AmazonBraketFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBraketFullAccess.html)*AWS Managed Policy Reference.*
## AWS politica gestita: AmazonBraketJobsExecutionPolicy
La **AmazonBraketJobsExecutionPolicy**policy concede le autorizzazioni per i ruoli di esecuzione utilizzati in Amazon Braket Hybrid Jobs come segue:
+ **Scarica contenitori da Amazon Elastic Container Registry** - Autorizzazioni per leggere e scaricare immagini di container utilizzate per la funzionalità Amazon Braket Hybrid Jobs. I contenitori devono essere conformi al formato «arn:aws:ecr: \$1:\$1:repository/amazon-braket\$1».
+ **Crea gruppi di log ed eventi di log e interroga gruppi di log per gestire i file di log di utilizzo per il tuo account**: crea, archivia e visualizza le informazioni di registrazione sull'utilizzo di Amazon Braket nel tuo account. Esegui query sui gruppi di log dei lavori ibridi. Comprende il percorso Braket corretto e consenti l'inserimento dei dati di registro. Inserisci i dati metrici. CloudWatch
+ **Archivia i dati in bucket Amazon S3***: elenca i bucket S3 nel tuo account, inserisci oggetti e ottieni oggetti da qualsiasi bucket del tuo account che inizia con amazon-braket- nel nome.* Queste autorizzazioni sono necessarie per consentire a Braket di inserire i file contenenti i risultati di attività quantistiche elaborate nel bucket e di recuperarli dal bucket.
+ **Passa i ruoli IAM: trasferimento dei ruoli IAM** a. CreateJob API I ruoli devono essere conformi al formato arn:aws:iam: :\$1 \$1. :role/service-role/AmazonBraketJobsExecutionRole
Per visualizzare le autorizzazioni per questa policy, consulta [AmazonBraketJobsExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBraketJobsExecutionPolicy.html)*AWS Managed Policy Reference.*
## AWS politica gestita: AmazonBraketServiceRolePolicy
La **AmazonBraketServiceRolePolicy**policy concede le autorizzazioni per le operazioni di Amazon Braket, incluse le autorizzazioni per le seguenti attività:
+ **Amazon S3**: autorizzazioni per elencare i bucket nel tuo account e inserire oggetti e ottenere oggetti da qualsiasi bucket del tuo account con un nome che inizia con. `amazon-braket-`
+ **Amazon CloudWatch Logs**: autorizzazioni per elencare e creare gruppi di log, creare i flussi di log associati e inserire eventi nel gruppo di log creato per Amazon Braket.
Per ulteriori informazioni sui ruoli collegati ai servizi, consulta il ruolo collegato ai servizi di [Amazon Braket](braket-slr.md).
Per visualizzare le autorizzazioni per questa policy, consulta [AmazonBraketServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBraketServiceRolePolicy.html)*AWS Managed Policy Reference.*
## Amazon Braket si aggiorna alle AWS politiche gestite
La tabella seguente fornisce dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon Braket dal momento in cui questo servizio ha iniziato a tracciare queste modifiche.
| **Modifica** | **Descrizione** | **Data** |
| --- | --- | --- |
| [ AmazonBraketServiceRolePolicy](#about-amazonbraketservicerolepolicy)- Politica di gestione delle risorse | Aggiunto l'ambito della condizione **«aws:ResourceAccount": «\$1 \$1aws:PrincipalAccount\$1»** ad Amazon S3 e CloudWatch registra le azioni. | 11 luglio 2025 |
| [AmazonBraketFullAccess](#about-amazonbraketfullaccess)- Politica di accesso completo per Braket | Aggiunta l'azione **«pricing:GetProducts»**. | 14 aprile 2025 |
| [AmazonBraketFullAccess](#about-amazonbraketfullaccess)- Politica di accesso completo per Braket | Aggiunto l'ambito della condizione **ResourceAccount«aws: «: «\$1 \$1aws:PrincipalAccount\$1»** alle azioni S3. | 7 marzo 2025 |
| [AmazonBraketFullAccess](#about-amazonbraketfullaccess)- Politica di accesso completa per Braket | **Aggiunte le **azioni servicequotas: GetServiceQuota e cloudwatch:**. GetMetricData** | 24 marzo 2023 |
| [AmazonBraketFullAccess](#about-amazonbraketfullaccess)- Politica di accesso completo per Braket | Aggiunto **s3: ListAllMyBuckets** autorizzazioni per visualizzare e ispezionare i bucket Amazon S3 usati. | 31 marzo 2022 |
| [AmazonBraketFullAccess](#about-amazonbraketfullaccess)- Politica di accesso completo per Braket | Braket adjusted iam: PassRole autorizzazioni AmazonBraketFullAccess per includere il percorso. `service-role/` | 29 novembre 2021 |
| [AmazonBraketJobsExecutionPolicy](#about-amazonbraketjobsexecution)- Politica di esecuzione dei lavori ibridi per Amazon Braket Hybrid Jobs | Braket ha aggiornato l'ARN del ruolo di esecuzione dei lavori ibridi per includere `service-role/` il percorso. | 29 novembre 2021 |
| Braket ha iniziato a tracciare le modifiche | Braket ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 29 novembre 2021 |
# Limita l'accesso degli utenti a determinati dispositivi
Per limitare l'accesso degli utenti a determinati dispositivi Braket, puoi aggiungere una politica di *negazione delle autorizzazioni* a un ruolo specifico. IAM
Le seguenti azioni possono essere limitate:
+ `CreateQuantumTask`- per negare la creazione di attività quantistiche su dispositivi specifici.
+ `CreateJob`- negare la creazione di posti di lavoro ibridi su dispositivi specifici.
+ `GetDevice`- negare di ottenere dettagli su dispositivi specifici.
L'esempio seguente limita l'accesso a tutti QPUs per. Account AWS `123456789012`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"braket:CreateQuantumTask",
"braket:CreateJob",
"braket:GetDevice"
],
"Resource": [
"arn:aws:braket:*:*:device/qpu/*"
],
"Condition": {
"StringEquals": {
"aws:PrincipalAccount": "123456789012"
}
}
}
]
}
```
------
**Nota**
Escludi l'`braket:GetDevice`Action dalla policy per consentire l'accesso in lettura di un utente alle proprietà del dispositivo, come la disponibilità del dispositivo, i dati di calibrazione e i prezzi, tramite la console Braket.
Per adattare questo codice, sostituite il Amazon Resource Number (ARN) del dispositivo con restrizioni alla stringa mostrata nell'esempio precedente. Questa stringa fornisce il valore **Resource**. In Braket, un dispositivo rappresenta una QPU o un simulatore che è possibile chiamare per eseguire attività quantistiche. [I dispositivi disponibili sono elencati nella pagina Dispositivi.](https://docs.aws.amazon.com/braket/latest/developerguide/braket-devices.html) Esistono due schemi utilizzati per specificare l'accesso a questi dispositivi:
+ `arn:aws:braket::*:device/qpu//`
+ `arn:aws:braket::*:device/quantum-simulator//`
**Di seguito sono riportati alcuni esempi di vari tipi di accesso ai dispositivi**
+ Per selezionare QPUs tutte le aree geografiche: `arn:aws:braket:*:*:device/qpu/*`
+ Per selezionare tutto QPUs SOLO nella regione us-west-2: `arn:aws:braket:us-west-2:*:device/qpu/*`
+ Equivalentemente, per selezionare tutto SOLO QPUs nella regione us-west-2 (poiché i dispositivi sono una risorsa di servizio, non una risorsa per i clienti): `arn:aws:braket:us-west-2:*:device/qpu/*`
+ Per limitare l'accesso a tutti i dispositivi di simulazione su richiesta: `arn:aws:braket:*:*:device/quantum-simulator/*`
+ Per limitare l'accesso ai dispositivi di un determinato provider (ad esempio, ai Rigetti QPU dispositivi): `arn:aws:braket:*:*:device/qpu/rigetti/*`
+ Per limitare l'accesso al TN1 dispositivo: `arn:aws:braket:*:*:device/quantum-simulator/amazon/tn1`
+ Per limitare l'accesso a tutte le `Create` azioni: `braket:Create*`
# Limita l'accesso degli utenti a determinate istanze del notebook
Per limitare l'accesso di determinati utenti a istanze specifiche di Braket Notebook, puoi aggiungere una politica di *negazione delle autorizzazioni* a un ruolo, utente o gruppo specifico.
L'esempio seguente utilizza [variabili di policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) per limitare in modo efficiente le autorizzazioni di avvio, arresto e accesso a istanze di notebook specifiche in Account AWS `123456789012`, denominate in base all'utente che dovrebbe avere accesso (ad esempio, l'utente `Alice` avrebbe accesso a un'istanza del notebook denominata). `amazon-braket-Alice`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyCreateDeleteUpdateNotebookInstances",
"Effect": "Deny",
"Action": [
"sagemaker:CreateNotebookInstance",
"sagemaker:DeleteNotebookInstance",
"sagemaker:UpdateNotebookInstance",
"sagemaker:CreateNotebookInstanceLifecycleConfig",
"sagemaker:DeleteNotebookInstanceLifecycleConfig",
"sagemaker:UpdateNotebookInstanceLifecycleConfig"
],
"Resource": "*"
},
{
"Sid": "DenyDescribeStartStopNotebookInstances",
"Effect": "Deny",
"Action": [
"sagemaker:DescribeNotebookInstance",
"sagemaker:StartNotebookInstance",
"sagemaker:StopNotebookInstance"
],
"NotResource": [
"arn:aws:sagemaker:*:123456789012:notebook-instance/amazon-braket-${aws:username}"
]
},
{
"Sid": "DenyNotebookInstanceUrl",
"Effect": "Deny",
"Action": [
"sagemaker:CreatePresignedNotebookInstanceUrl"
],
"NotResource": [
"arn:aws:sagemaker:*:123456789012:notebook-instance/amazon-braket-${aws:username}*"
]
}
]
}
```
------
# Limita l'accesso degli utenti a determinati bucket S3
Per limitare l'accesso di determinati utenti a specifici bucket Amazon S3, puoi aggiungere una politica di rifiuto a un ruolo, utente o gruppo specifico.
L'esempio seguente limita le autorizzazioni per recuperare e posizionare oggetti in un S3 bucket specifico (`arn:aws:s3:::amazon-braket-us-east-1-123456789012-Alice`) e limita anche l'elenco di tali oggetti.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"s3:ListBucket"
],
"NotResource": [
"arn:aws:s3:::amazon-braket-us-east-1-123456789012-Alice"
]
},
{
"Effect": "Deny",
"Action": [
"s3:GetObject"
],
"NotResource": [
"arn:aws:s3:::amazon-braket-us-east-1-123456789012-Alice/*"
]
}
]
}
```
------
Per limitare l'accesso al bucket per una determinata istanza di notebook, è possibile aggiungere la politica precedente al ruolo di esecuzione del notebook.