Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Autorizzazioni IAM richieste per l'archiviazione degli snapshot di Amazon EBS Per impostazione predefinita, gli utenti non dispongono dell'autorizzazione per utilizzare l'archiviazione degli snapshot. Per permettere agli utenti di utilizzare l'archiviazione degli snapshot, devi creare delle policy IAM che concedano l'autorizzazione per l'uso di risorse e operazioni API specifiche. Per ulteriori informazioni, consulta [Creazione di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella Guida per l'utente IAM. Per utilizzare l'archiviazione degli snapshot, gli utenti devono disporre delle seguenti autorizzazioni. + `ec2:DescribeSnapshotTierStatus` + `ec2:ModifySnapshotTier` + `ec2:RestoreSnapshotTier` Gli utenti della console potrebbero aver bisogno di autorizzazioni aggiuntive, ad esempio `ec2:DescribeSnapshots`. Per archiviare e ripristinare le istantanee crittografate, sono necessarie le seguenti AWS KMS autorizzazioni aggiuntive. + `kms:CreateGrant` + `kms:Decrypt` + `kms:DescribeKey` Di seguito è riportato un esempio di policy IAM che consente agli utenti IAM di archiviare, ripristinare e visualizzare snapshot crittografati e non crittografati. Include l'autorizzazione `ec2:DescribeSnapshots` per gli utenti della console. Se qualche autorizzazione non è necessaria, puoi rimuoverla dalla policy. **Suggerimento** Per seguire il principio del privilegio minimo, non consentire l'accesso completo a `kms:CreateGrant`. Utilizzate invece la chiave `kms:GrantIsForAWSResource` condition per consentire all'utente di creare concessioni sulla chiave KMS solo quando la concessione viene creata per conto dell'utente da un AWS servizio, come illustrato nell'esempio seguente. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeSnapshotTierStatus", "ec2:ModifySnapshotTier", "ec2:RestoreSnapshotTier", "ec2:DescribeSnapshots", "kms:CreateGrant", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } }] } ``` ------ Per fornire l’accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli: + Utenti e gruppi in: AWS IAM Identity Center Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) (Creazione di un set di autorizzazioni) nella *Guida per l’utente di AWS IAM Identity Center *. + Utenti gestiti in IAM tramite un provider di identità: Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) della *Guida per l’utente IAM*. + Utenti IAM: + Crea un ruolo che l’utente possa assumere. Segui le istruzioni riportate nella pagina [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) della *Guida per l’utente IAM*. + (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina [Aggiunta di autorizzazioni a un utente (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.