Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Esempi di policy basate sulle risorse per Amazon EFS
<a name="security_iam_resource-based-policy-examples"></a>

In questa sezione sono disponibili policy del file system di esempio che concedono o rifiutano le autorizzazioni per diverse operazioni Amazon EFS. Le policy del file system EFS hanno un limite di 20.000 caratteri. Per informazioni sugli elementi di una policy basata sulle risorse, consulta [Policy basate su risorse all'interno di Amazon EFS](security_iam_service-with-iam.md#security_iam_service-with-iam-resource-based-policies).

**Importante**  
Se si concede l'autorizzazione a un singolo utente o ruolo IAM in un criterio del file system, non eliminare o ricreare tale utente o ruolo mentre il criterio è ancora attivo sul file system. In questo caso, tale utente o ruolo viene effettivamente bloccato fuori dal file system e non sarà in grado di accedervi. Per ulteriori informazioni, vedere [Specifica di un utente/gruppo/ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying) nel *manuale utente IAM*. 

Per ulteriori informazioni sulla creazione di una policy di file system, consulta [Creazione di policy del file system](create-file-system-policy.md).

**Topics**
+ [Esempio: concedere l'accesso in lettura e scrittura a un ruolo specifico AWS](#file-sys-policy-readonly)
+ [Esempio: concedere accesso in sola lettura](#file-sys-policy-readonly)
+ [Esempio: concedere l'accesso a un punto di accesso EFS](#file-sys-policy-accessprofile-efs)

## Esempio: concedere l'accesso in lettura e scrittura a un ruolo specifico AWS
<a name="file-sys-policy-readonly"></a>

In questo esempio, la policy del file system EFS dispone delle seguenti caratteristiche:
+ L'effetto è `Allow`.
+ L’entità principale è impostata su Testing\$1Role in Account AWS.
+ L'operazione è impostata su `ClientMount` (lettura) e `ClientWrite`.
+ La condizione per la concessione delle autorizzazioni è impostata su `AccessedViaMountTarget`.

```
{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/Testing_Role"
            },
            "Action": [
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientMount"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd",
            "Condition": {
                "Bool": {
                    "elasticfilesystem:AccessedViaMountTarget": "true"
                }
            }
        }
    ]
}
```

## Esempio: concedere accesso in sola lettura
<a name="file-sys-policy-readonly"></a>

La seguente policy del file system concede solo autorizzazioni`ClientMount`, o di sola lettura, al ruolo IAM. `EfsReadOnly`

```
{
    "Id": "read-only-example-policy02",
    "Statement": [
        {
            "Sid": "efs-statement-example02",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly"
            },
            "Action": [
                "elasticfilesystem:ClientMount"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678"            
        }
    ]
}
```

Per informazioni su come impostare ulteriori policy del file system, incluso rifiutare l'accesso root a tutti i principali IAM, ad eccezione di una workstation di gestione specifica, consulta [Abilita il root squashing utilizzando l'autorizzazione IAM per i client NFS](accessing-fs-nfs-permissions.md#enable-root-squashing).

## Esempio: concedere l'accesso a un punto di accesso EFS
<a name="file-sys-policy-accessprofile-efs"></a>

Utilizzare una policy di accesso EFS per fornire a un client NFS una visualizzazione specifica dell'applicazione in set di dati condivisi basati su file in un file system EFS. Concedere le autorizzazioni del punto di accesso sul file system utilizzando una policy del file system. 

Questo esempio di policy di file utilizza un elemento condizione per concedere l'accesso al file system a un punto di accesso specifico identificato dal relativo ARN completo. 

Per ulteriori informazioni sui punti di accesso EFS, consulta [Utilizzo dei punti di accesso](efs-access-points.md).

```
{
    "Id": "access-point-example03",
    "Statement": [
        {
            "Sid": "access-point-statement-example03",
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"},
            "Action": "elasticfilesystem:Client*",
            "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678",
            "Condition": { 
                "StringEquals": {
                    "elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" } 
            }            
        }
    ]
}
```