Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in Amazon FSx for Lustre
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di data center e architetture di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra te e te. AWS Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi in Amazon Web Services Cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. I revisori di terze parti testano e verificano regolarmente l'efficacia della sicurezza come parte dei [programmi di conformitàAWS](https://aws.amazon.com/compliance/programs/). Per saperne di più sui programmi di conformità che si applicano a Amazon FSx for Lustre, vedi [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. Sei anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della tua azienda e le leggi e normative vigenti.
Questa documentazione aiuta a capire come applicare il modello di responsabilità condivisa durante l'utilizzo Amazon FSx for Lustre. I seguenti argomenti mostrano come configurare Amazon per FSx soddisfare i tuoi obiettivi di sicurezza e conformità. Scopri anche come utilizzare altri servizi Amazon che ti aiutano a monitorare e proteggere i tuoi Amazon FSx for Lustre risorse.
Di seguito, è possibile trovare una descrizione delle considerazioni relative alla sicurezza con cui lavorare Amazon FSx.
**Topics**
+ [Protezione dei dati in Amazon FSx for Lustre](data-protection.md)
+ [Gestione delle identità e degli accessi per Amazon FSx for Lustre](security-iam.md)
+ [Controllo degli accessi ai file system con Amazon VPC](limit-access-security-groups.md)
+ [Rete Amazon VPC ACLs](limit-access-acl.md)
+ [Convalida della conformità per Amazon FSx for Lustre](fsx-lustre-compliance.md)
+ [Amazon FSx for Lustre e endpoint VPC di interfaccia ()AWS PrivateLink](fsx-vpc-endpoints.md)
# Protezione dei dati in Amazon FSx for Lustre
Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) di si applica alla protezione dei dati in Amazon FSx for Lustre. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L'utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, vedi le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [Modello di responsabilità condivisa AWS e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *Blog sulla sicurezza AWS *.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l'autenticazione a più fattori (MFA) con ogni account.
+ Usa SSL/TLS per comunicare con le risorse. AWS È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con. AWS CloudTrail Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Amazon FSx o altro Servizi AWS utilizzando la console AWS CLI, l'API o AWS SDKs. I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando fornisci un URL a un server esterno, ti suggeriamo vivamente di non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta al server.
**Topics**
+ [Crittografia dei dati in Amazon FSx for Lustre](encryption-fsxl.md)
+ [Riservatezza del traffico Internet](internetwork-privacy.md)
# Crittografia dei dati in Amazon FSx for Lustre
Amazon FSx for Lustre supporta due forme di crittografia per i file system, la crittografia dei dati inattivi e la crittografia in transito. La crittografia dei dati inattivi viene abilitata automaticamente durante la creazione di un FSx file system Amazon. La crittografia dei dati in transito viene abilitata automaticamente quando accedi a un FSx file system [Amazon da EC2 istanze](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) Amazon che supportano questa funzionalità.
## Quando usare la crittografia
Se la tua organizzazione è soggetta a politiche aziendali o normative che richiedono la crittografia dei dati e dei metadati inattivi, ti consigliamo di creare un file system crittografato e di montare il file system utilizzando la crittografia dei dati in transito.
Per ulteriori informazioni sulla creazione di un file system crittografato a riposo utilizzando la console, consulta [ Create your Amazon FSx for Lustre file system](getting-started.md#getting-started-step1).
**Topics**
+ [Quando usare la crittografia](#whenencrypt)
+ [Crittografia dei dati a riposo](encryption-at-rest.md)
+ [Crittografia dei dati in transito](encryption-in-transit-fsxl.md)
# Crittografia dei dati a riposo
La crittografia dei dati inattivi viene abilitata automaticamente quando crei un Amazon FSx for Lustre file system tramite Console di gestione AWS AWS CLI, il o programmaticamente tramite l' FSx API Amazon o uno dei. AWS SDKs Un'azienda potrebbe richiedere la crittografia di tutti i dati che soddisfano una determinata classificazione o sono associati a una determinata applicazione, carico di lavoro o ambiente. Se crei un file system persistente, puoi specificare la AWS KMS chiave con cui crittografare i dati. Se crei un file system scratch, i dati vengono crittografati utilizzando chiavi gestite da Amazon FSx. Per ulteriori informazioni sulla creazione di un file system crittografato a riposo utilizzando la console, consulta [ Create your Amazon FSx for Lustre file system](getting-started.md#getting-started-step1).
**Nota**
L'infrastruttura di gestione delle AWS chiavi utilizza algoritmi crittografici approvati dal Federal Information Processing Standards (FIPS) 140-2. L'infrastruttura è compatibile con le raccomandazioni National Institute of Standards and Technology (NIST) 800-57.
Per ulteriori informazioni sulle modalità di utilizzo di Lustre, FSx vedere. AWS KMS[In che modo Amazon FSx for Lustre utilizza AWS KMS](#FSXKMS)
## Come funziona la crittografia dei dati memorizzati su disco
In un file system crittografato, i dati e i metadati vengono automaticamente crittografati prima di essere scritti sul file system. Analogamente, quando i dati e i metadati vengono letti, sono automaticamente decifrati prima di essere presentati all'applicazione. Questi processi sono gestiti in modo trasparente da Amazon FSx for Lustre, quindi non è necessario modificare le applicazioni.
Amazon FSx for Lustre utilizza l'algoritmo di crittografia AES-256 standard del settore per crittografare i dati del file system inattivi. Per ulteriori informazioni, consulta [Elementi di base di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html) nella *Guida per sviluppatori di AWS Key Management Service *.
## In che modo Amazon FSx for Lustre utilizza AWS KMS
Amazon FSx for Lustre crittografa automaticamente i dati prima che vengano scritti nel file system e decrittografa automaticamente i dati man mano che vengono letti. I dati vengono crittografati utilizzando un codice a blocchi XTS-AES-256. Tutti i file system di scratch FSx for Lustre sono crittografati quando sono inattivi con chiavi gestite da. AWS KMSAmazon FSx for Lustre si integra con AWS KMS per la gestione delle chiavi. Le chiavi utilizzate per crittografare i file system scratch inattivi sono uniche per ogni file system e vengono distrutte dopo l'eliminazione del file system. Per i file system persistenti, scegli la chiave KMS utilizzata per crittografare e decrittografare i dati. È necessario specificare la chiave da utilizzare quando si crea un file system persistente. Puoi abilitare, disabilitare o revocare le concessioni su questa chiave KMS. Questa chiave KMS può essere di uno dei due tipi seguenti:
+ **Chiave gestita da AWS per Amazon FSx**: questa è la chiave KMS predefinita. Non ti viene addebitato alcun costo per creare e archiviare una chiave KMS, ma ci sono costi di utilizzo. Per ulteriori informazioni, consulta [Prezzi di AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
+ **Chiave gestita dal cliente** – Questa è la chiave KMS più flessibile da usare, perché è possibile configurare le policy della chiave e i permessi per più utenti o servizi. Per ulteriori informazioni sulla creazione di chiavi gestite dai clienti, consulta [Creazione di chiavi](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) nella *Guida per gli AWS Key Management Service sviluppatori*.
Se utilizzi una chiave gestita dal cliente come chiave KMS per la crittografia e la decrittografia dei dati dei file, puoi abilitare la rotazione delle chiavi. Quando abiliti la rotazione delle chiavi, la ruota AWS KMS automaticamente una volta all'anno. Inoltre, con una chiave gestita dal cliente, è possibile scegliere quando disattivare, riattivare, eliminare o revocare l'accesso alla chiave gestita dal cliente in qualsiasi momento.
**Importante**
Amazon FSx accetta solo chiavi KMS con crittografia simmetrica. Non puoi utilizzare chiavi KMS asimmetriche con Amazon. FSx
### Politiche FSx chiave di Amazon per AWS KMS
Le policy chiave sono lo strumento principale per controllare l'accesso alle chiavi KMS. Per ulteriori informazioni sulle politiche chiave, consulta [Using key policy AWS KMS nella AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) *Developer Guide.*L'elenco seguente descrive tutte le autorizzazioni AWS KMS correlate supportate da Amazon FSx per i file system crittografati a riposo:
+ **kms:Encrypt** - (Facoltativa) Crittografa testo normale in testo criptato. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
+ **kms:Decrypt** - (Obbligatoria) Decifra il testo criptato. Il testo cifrato è un testo normale che è stato precedentemente crittografato. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
+ **kms: ReEncrypt** — (Facoltativo) Crittografa i dati sul lato server con una nuova chiave KMS, senza esporre il testo in chiaro dei dati sul lato client. I dati sono prima decifrati e quindi nuovamente crittografati. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
+ **kms: GenerateDataKeyWithoutPlaintext** — (Obbligatorio) Restituisce una chiave di crittografia dei dati crittografata con una chiave KMS. Questa autorizzazione è inclusa nella politica delle chiavi predefinita in **kms**: \$1. GenerateDataKey
+ **kms: CreateGrant** — (Obbligatorio) Aggiunge una concessione a una chiave per specificare chi può utilizzare la chiave e in quali condizioni. I grant sono meccanismi di autorizzazioni alternative alle policy sulle chiavi. *Per ulteriori informazioni sulle sovvenzioni, consulta [Using grants](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) nella Developer Guide.AWS Key Management Service * Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
+ **kms: DescribeKey** — (Obbligatorio) Fornisce informazioni dettagliate sulla chiave KMS specificata. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
+ **kms: ListAliases** — (Facoltativo) Elenca tutti gli alias chiave dell'account. Quando usi la console per creare un file system crittografato, questa autorizzazione compila l'elenco per selezionare la chiave KMS. Consigliamo di usare questa autorizzazione per garantire la migliore esperienza utente. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
# Crittografia dei dati in transito
Scratch 2 e i file system persistenti possono crittografare automaticamente i dati in transito quando si accede al file system da EC2 istanze Amazon che supportano la crittografia in transito e anche per tutte le comunicazioni tra host all'interno del file system. Per sapere quali EC2 istanze supportano la crittografia in transito, consulta [Encryption in transit](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) nella *Amazon EC2 User Guide*.
Per un elenco dei prodotti Regioni AWS in cui è disponibile Amazon FSx for Lustre, consulta[Disponibilità del tipo di implementazione](using-fsx-lustre.md#persistent-deployment-regions).
# Riservatezza del traffico Internet
Questo argomento descrive come Amazon FSx protegge le connessioni dal servizio ad altre località.
## Traffico tra Amazon FSx e i clienti locali
Hai due opzioni di connettività tra la tua rete privata e AWS:
+ Una AWS Site-to-Site VPN connessione. Per ulteriori informazioni, vedi [Cos'è AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ Una AWS Direct Connect connessione. Per ulteriori informazioni, vedi [Cos'è AWS Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
È possibile accedere a Lustre tramite la rete FSx per accedere alle operazioni API AWS pubblicate per eseguire attività amministrative e Lustre porte per interagire con il file system.
### Crittografia del traffico API
Per accedere alle operazioni API AWS pubblicate, i client devono supportare Transport Layer Security (TLS) 1.2 o versione successiva. È richiesto TLS 1.2 ed è consigliato TLS 1.3. I client devono inoltre supportare le suite di cifratura con PFS (Perfect Forward Secrecy), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Diffie-Hellman Ephemeral (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità. Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un principale IAM. Oppure puoi utilizzare [AWS Security Token Service (STS)](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) per generare credenziali di sicurezza temporanee per firmare le richieste.
### Crittografia del traffico dati
La crittografia dei dati in transito è abilitata dalle EC2 istanze supportate che accedono ai file system dall'interno di. Cloud AWS Per ulteriori informazioni, vedere[Crittografia dei dati in transito](encryption-in-transit-fsxl.md). FSx for Lustre non offre in modo nativo la crittografia in transito tra client locali e file system.
# Gestione delle identità e degli accessi per Amazon FSx for Lustre
AWS Identity and Access Management (IAM) è un programma Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse Amazon. FSx IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come funziona Amazon FSx for Lustre con IAM](security_iam_service-with-iam.md)
+ [Esempi di policy basate sull'identità per Amazon for Lustre FSx](security_iam_id-based-policy-examples.md)
+ [AWS politiche gestite per Amazon FSx for Lustre](security-iam-awsmanpol.md)
+ [Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon FSx for Lustre](security_iam_troubleshoot.md)
+ [Usare i tag con Amazon FSx](using-tags-fsx.md)
+ [Utilizzo di ruoli collegati ai servizi per Amazon FSx](using-service-linked-roles.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon FSx for Lustre](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come funziona Amazon FSx for Lustre con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate sull'identità per Amazon for Lustre FSx](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*.
### Identità federata
Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come funziona Amazon FSx for Lustre con IAM
Prima di utilizzare IAM per gestire l'accesso ad Amazon FSx, scopri quali funzionalità IAM sono disponibili per l'uso con Amazon FSx.
**Funzionalità IAM che puoi utilizzare con Amazon FSx for Lustre**
| Funzionalità IAM | FSx Assistenza Amazon |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies) | No |
| [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources) | Sì |
| [Chiavi di condizione delle policy](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sì |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags) | Sì |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Inoltro delle sessioni di accesso (FAS)](#security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-roles-service) | No |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | Sì |
Per avere una visione di alto livello di come Amazon FSx e altri AWS servizi funzionano con la maggior parte delle funzionalità IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
## Politiche basate sull'identità per Amazon FSx
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
### Esempi di policy basate sull'identità per Amazon FSx
Per visualizzare esempi di politiche FSx basate sull'identità di Amazon, consulta. [Esempi di policy basate sull'identità per Amazon for Lustre FSx](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse all'interno di Amazon FSx
**Supporta le policy basate su risorse:** no
## Azioni politiche per Amazon FSx
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Per visualizzare un elenco di FSx azioni Amazon, consulta [Azioni definite da Amazon FSx for Lustre](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-actions-as-permissions) nel *Service Authorization Reference*.
Le azioni politiche in Amazon FSx utilizzano il seguente prefisso prima dell'azione:
```
fsx
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"fsx:action1",
"fsx:action2"
]
```
Per visualizzare esempi di politiche FSx basate sull'identità di Amazon, consulta. [Esempi di policy basate sull'identità per Amazon for Lustre FSx](security_iam_id-based-policy-examples.md)
## Risorse relative alle policy per Amazon FSx
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Per visualizzare un elenco dei tipi di FSx risorse Amazon e relativi ARNs, consulta [Resources defined by Amazon FSx for Lustre](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-resources-for-iam-policies) nel *Service Authorization Reference*. Per sapere con quali azioni puoi specificare l'ARN di ogni risorsa, consulta [Azioni definite da Amazon FSx for](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-actions-as-permissions) Lustre.
Per visualizzare esempi di politiche FSx basate sull'identità di Amazon, consulta. [Esempi di policy basate sull'identità per Amazon for Lustre FSx](security_iam_id-based-policy-examples.md)
## Chiavi relative alle condizioni delle politiche per Amazon FSx
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Per visualizzare un elenco di chiavi di FSx condizione di Amazon, consulta [Condition keys for Amazon FSx for Lustre](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-policy-keys) nel *Service Authorization Reference*. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, consulta [Azioni definite da Amazon FSx for Lustre](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-actions-as-permissions).
Per visualizzare esempi di politiche FSx basate sull'identità di Amazon, consulta. [Esempi di policy basate sull'identità per Amazon for Lustre FSx](security_iam_id-based-policy-examples.md)
## Elenchi di controllo degli accessi (ACLs) in Amazon FSx
**Supporti ACLs:** No
## Controllo degli accessi basato sugli attributi (ABAC) con Amazon FSx
**Supporta ABAC (tag nelle policy):** sì
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base ad attributi chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
Per ulteriori informazioni sull'etichettatura FSx delle risorse Amazon, consulta[Etichetta le tue risorse Amazon FSx for Lustre](tag-resources.md).
Per visualizzare una policy basata sulle identità di esempio per limitare l'accesso a una risorsa basata su tag su tale risorsa, consulta [Utilizzo dei tag per controllare l'accesso alle FSx risorse Amazon](using-tags-fsx.md#restrict-fsx-access-tags).
## Utilizzo di credenziali temporanee con Amazon FSx
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono un accesso a breve termine alle AWS risorse e vengono create automaticamente quando utilizzi la federazione o cambi ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Sessioni di accesso diretto per Amazon FSx
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale chiamante e Servizio AWS, in combinazione con la richiesta, di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli di servizio per Amazon FSx
**Supporta i ruoli di servizio:** no
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio potrebbe interrompere la FSx funzionalità di Amazon. Modifica i ruoli di servizio solo quando Amazon FSx fornisce indicazioni in tal senso.
## Ruoli collegati ai servizi per Amazon FSx
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per ulteriori informazioni sulla creazione e la gestione dei ruoli FSx collegati ai servizi Amazon, consulta. [Utilizzo di ruoli collegati ai servizi per Amazon FSx](using-service-linked-roles.md)
# Esempi di policy basate sull'identità per Amazon for Lustre FSx
Per impostazione predefinita, gli utenti e i ruoli non sono autorizzati a creare o modificare FSx risorse Amazon. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per dettagli sulle azioni e sui tipi di risorse definiti da Amazon FSx, incluso il formato di ARNs per ogni tipo di risorsa, consulta [Azioni, risorse e chiavi di condizione per Amazon FSx for Lustre](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html) nel *Service Authorization Reference*.
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della FSx console Amazon](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare FSx risorse Amazon nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della FSx console Amazon
Per accedere alla console Amazon FSx for Lustre, devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle FSx risorse Amazon presenti nel tuo Account AWS. Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario concedere autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Per garantire che utenti e ruoli possano ancora utilizzare la FSx console Amazon, allega anche la policy `AmazonFSxConsoleReadOnlyAccess` AWS gestita alle entità. Per maggiori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente di IAM*.
Puoi vedere le politiche `AmazonFSxConsoleReadOnlyAccess` e le altre politiche dei servizi FSx gestiti di Amazon in[AWS politiche gestite per Amazon FSx for Lustre](security-iam-awsmanpol.md).
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS politiche gestite per Amazon FSx for Lustre
Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## Amazon FSx ServiceRolePolicy
Consente FSx ad Amazon di gestire AWS le risorse per tuo conto. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per Amazon FSx](using-service-linked-roles.md).
## AWS politica gestita: Amazon FSx DeleteServiceLinkedRoleAccess
Non è possibile collegare `AmazonFSxDeleteServiceLinkedRoleAccess`alle entità IAM. Questa politica è collegata a un servizio e utilizzata solo con il ruolo collegato al servizio per quel servizio. Non è possibile collegare, scollegare, modificare o eliminare questa policy. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per Amazon FSx](using-service-linked-roles.md).
Questa politica concede autorizzazioni amministrative che consentono FSx ad Amazon di eliminare il suo Service Linked Role per l'accesso ad Amazon S3, utilizzato solo da Amazon FSx for Lustre.
**Dettagli delle autorizzazioni**
Questa policy include le autorizzazioni `iam` per consentire FSx ad Amazon di visualizzare, eliminare e visualizzare lo stato di eliminazione per i FSx Service Linked Roles for Amazon S3 access.
Per visualizzare le autorizzazioni per questa politica, consulta [Amazon FSx DeleteServiceLinkedRoleAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/FSxDeleteServiceLinkedRoleAccess.html) nella AWS Managed Policy Reference Guide.
## AWS politica gestita: Amazon FSx FullAccess
Puoi collegare Amazon FSx FullAccess alle tue entità IAM. Amazon attribuisce questa politica FSx anche a un ruolo di servizio che consente FSx ad Amazon di eseguire azioni per tuo conto.
Fornisce accesso completo ad Amazon FSx e accesso ai AWS servizi correlati.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `fsx`— Consente ai mandanti l'accesso completo per eseguire tutte le FSx azioni di Amazon, ad eccezione `BypassSnaplockEnterpriseRetention` di.
+ `ds`— Consente ai dirigenti di visualizzare le informazioni sulle Directory Service directory.
+ `ec2`
+ Consente ai mandanti di creare tag nelle condizioni specificate.
+ Fornire una convalida avanzata dei gruppi di sicurezza di tutti i gruppi di sicurezza che possono essere utilizzati con un VPC.
+ `iam`— Consente ai principi di creare un ruolo collegato al FSx servizio Amazon per conto dell'utente. Ciò è necessario affinché Amazon FSx possa gestire AWS le risorse per conto dell'utente.
+ `firehose`— Consente ai mandanti di scrivere record su Amazon Data Firehose. Ciò è necessario FSx per consentire agli utenti di monitorare l'accesso al file system di Windows File Server inviando registri di accesso di controllo a Firehose.
+ `logs`— Consente ai responsabili di creare gruppi di log, flussi di log e scrivere eventi nei flussi di log. Ciò è necessario FSx per consentire agli utenti di monitorare l'accesso al file system di Windows File Server inviando i registri di accesso di controllo a Logs. CloudWatch
Per visualizzare le autorizzazioni per questa politica, consulta [Amazon FSx FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxFullAccess.html) nella AWS Managed Policy Reference Guide.
## AWS politica gestita: Amazon FSx ConsoleFullAccess
È possibile allegare la policy `AmazonFSxConsoleFullAccess` alle identità IAM.
Questa politica concede autorizzazioni amministrative che consentono l'accesso completo ad Amazon FSx e l'accesso ai AWS servizi correlati tramite. Console di gestione AWS
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `fsx`— Consente ai responsabili di eseguire tutte le azioni nella console di FSx gestione Amazon, ad eccezione `BypassSnaplockEnterpriseRetention` di.
+ `cloudwatch`— Consente ai responsabili di visualizzare CloudWatch allarmi e metriche nella console di gestione Amazon FSx .
+ `ds`— Consente ai responsabili di elencare le informazioni su una directory. Directory Service
+ `ec2`
+ Consente ai mandanti di creare tag sulle tabelle di routing, elencare le interfacce di rete, le tabelle di routing, i gruppi di sicurezza, le sottoreti e il VPC associato a un file system Amazon. FSx
+ Consente ai responsabili di fornire una convalida avanzata dei gruppi di sicurezza di tutti i gruppi di sicurezza che possono essere utilizzati con un VPC.
+ Consente ai responsabili di visualizzare le interfacce di rete elastiche associate a un FSx file system Amazon.
+ `kms`— Consente ai principali di elencare gli alias per le chiavi. AWS Key Management Service
+ `s3`— Consente ai responsabili di elencare alcuni o tutti gli oggetti in un bucket Amazon S3 (fino a 1000).
+ `iam`— Concede l'autorizzazione a creare un ruolo collegato al servizio che consente FSx ad Amazon di eseguire azioni per conto dell'utente.
Per visualizzare le autorizzazioni per questa politica, consulta [Amazon FSx ConsoleFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleFullAccess.html) nella AWS Managed Policy Reference Guide.
## AWS politica gestita: Amazon FSx ConsoleReadOnlyAccess
È possibile allegare la policy `AmazonFSxConsoleReadOnlyAccess` alle identità IAM.
Questa politica concede autorizzazioni di sola lettura ad FSx Amazon e ai servizi AWS correlati in modo che gli utenti possano visualizzare le informazioni su questi servizi in. Console di gestione AWS
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `fsx`— Consente ai responsabili di visualizzare le informazioni sui FSx file system Amazon, inclusi tutti i tag, nella Console di FSx gestione Amazon.
+ `cloudwatch`— Consente ai responsabili di visualizzare CloudWatch allarmi e metriche nella Console di gestione Amazon FSx .
+ `ds`— Consente ai responsabili di visualizzare le informazioni su una Directory Service directory nella Console di FSx gestione Amazon.
+ `ec2`
+ Consente ai responsabili di visualizzare interfacce di rete, gruppi di sicurezza, sottoreti e il VPC associato a un FSx file system Amazon nella Console di gestione Amazon. FSx
+ Consente ai responsabili di fornire una convalida avanzata dei gruppi di sicurezza di tutti i gruppi di sicurezza che possono essere utilizzati con un VPC.
+ Consente ai responsabili di visualizzare le interfacce di rete elastiche associate a un FSx file system Amazon.
+ `kms`— Consente ai mandanti di visualizzare gli alias per le AWS Key Management Service chiavi nella Console di FSx gestione Amazon.
+ `log`— Consente ai responsabili di descrivere i gruppi di log di Amazon CloudWatch Logs associati all'account che effettua la richiesta. Ciò è necessario per consentire ai responsabili di visualizzare la configurazione esistente di controllo degli accessi ai file per un file system FSx per Windows File Server.
+ `firehose`— Consente ai mandanti di descrivere i flussi di distribuzione di Amazon Data Firehose associati all'account che effettua la richiesta. Ciò è necessario affinché i responsabili possano visualizzare la configurazione esistente di controllo dell'accesso ai file per un file system FSx per Windows File Server.
Per visualizzare le autorizzazioni per questa politica, consulta [Amazon FSx ConsoleReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleReadOnlyAccess.html) nella AWS Managed Policy Reference Guide.
## AWS politica gestita: Amazon FSx ReadOnlyAccess
È possibile allegare la policy `AmazonFSxReadOnlyAccess` alle identità IAM.
+ `fsx`— Consente ai responsabili di visualizzare le informazioni sui FSx file system Amazon, inclusi tutti i tag, nella Console di FSx gestione Amazon.
+ `ec2`— Fornire una convalida avanzata dei gruppi di sicurezza di tutti i gruppi di sicurezza che possono essere utilizzati con un VPC.
Per visualizzare le autorizzazioni per questa politica, consulta [Amazon FSx ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxReadOnlyAccess.html) nella AWS Managed Policy Reference Guide.
## FSx Aggiornamenti Amazon alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon FSx da quando questo servizio ha iniziato a tracciare queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS sulla pagina Amazon FSx [Cronologia dei documenti](doc-history.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `ec2:AssignIpv6Addresses` che consente ai mandanti di assegnare IPv6 indirizzi alle interfacce di rete dei clienti dotate di un tag. `AmazonFSx.FileSystemId` | 22 luglio 2025 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `ec2:UnassignIpv6Addresses` che consente ai mandanti di annullare l'assegnazione IPv6 degli indirizzi dalle interfacce di rete dei clienti che dispongono di un tag. `AmazonFSx.FileSystemId` | 22 luglio 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `fsx:CreateAndAttachS3AccessPoint` che consente ai responsabili di creare un punto di accesso S3 e collegarlo a un FSx volume. | 25 giugno 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `fsx:DescribeS3AccessPointAttachments` che consente ai responsabili di elencare tutti i punti di accesso S3 Account AWS in un colpo solo. Regione AWS | 25 giugno 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `fsx:DetachAndDeleteS3AccessPoint` che consente ai responsabili di eliminare un punto di accesso S3. | 25 giugno 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `fsx:CreateAndAttachS3AccessPoint` che consente ai responsabili di creare un punto di accesso S3 e collegarlo a un FSx volume. | 25 giugno 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `fsx:DescribeS3AccessPointAttachments` che consente ai responsabili di elencare tutti i punti di accesso S3 Account AWS in un colpo solo. Regione AWS | 25 giugno 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `fsx:DetachAndDeleteS3AccessPoint` che consente ai responsabili di eliminare un punto di accesso S3. | 25 giugno 2025 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `ec2:DescribeNetworkInterfaces` che consente ai responsabili di visualizzare le interfacce di rete elastiche associate al proprio file system. | 25 febbraio 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `ec2:DescribeNetworkInterfaces` che consente ai responsabili di visualizzare le interfacce di rete elastiche associate al proprio file system. | 07 febbraio 2025 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `ec2:GetSecurityGroupsForVpc` che consente ai responsabili di fornire una convalida avanzata dei gruppi di sicurezza di tutti i gruppi di sicurezza che possono essere utilizzati con un VPC. | 9 gennaio 2024 |
| [Amazon FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `ec2:GetSecurityGroupsForVpc` che consente ai responsabili di fornire una convalida avanzata dei gruppi di sicurezza di tutti i gruppi di sicurezza che possono essere utilizzati con un VPC. | 9 gennaio 2024 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `ec2:GetSecurityGroupsForVpc` che consente ai responsabili di fornire una convalida avanzata dei gruppi di sicurezza di tutti i gruppi di sicurezza che possono essere utilizzati con un VPC. | 9 gennaio 2024 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `ec2:GetSecurityGroupsForVpc` che consente ai responsabili di fornire una convalida avanzata dei gruppi di sicurezza di tutti i gruppi di sicurezza che possono essere utilizzati con un VPC. | 9 gennaio 2024 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto una nuova autorizzazione, `ec2:GetSecurityGroupsForVpc` che consente ai responsabili di fornire una convalida avanzata dei gruppi di sicurezza di tutti i gruppi di sicurezza che possono essere utilizzati con un VPC. | 9 gennaio 2024 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire agli utenti di eseguire la replica dei dati tra regioni e account FSx per i file system OpenZFS. | 20 dicembre 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire agli utenti di eseguire la replica dei dati tra regioni e account FSx per i file system OpenZFS. | 20 dicembre 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire agli utenti di eseguire la replica su richiesta dei volumi FSx per i file system OpenZFS. | 26 novembre 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire agli utenti di eseguire la replica su richiesta dei volumi FSx per i file system OpenZFS. | 26 novembre 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire agli utenti di visualizzare, abilitare e disabilitare il supporto VPC condiviso FSx per i file system ONTAP Multi-AZ. | 14 novembre 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire agli utenti di visualizzare, abilitare e disabilitare il supporto VPC condiviso FSx per i file system ONTAP Multi-AZ. | 14 novembre 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire ad Amazon di FSx gestire le configurazioni di rete FSx per i file system OpenZFS Multi-AZ. | 9 agosto 2023 |
| [AWS politica gestita: Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Aggiornamento a una politica esistente | Amazon ha FSx modificato l'`cloudwatch:PutMetricData`autorizzazione esistente in modo che Amazon FSx pubblichi le CloudWatch metriche nel namespace. `AWS/FSx` | 24 luglio 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiornato la politica per rimuovere l'`fsx:*`autorizzazione e aggiungere `fsx` azioni specifiche. | 13 luglio 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiornato la politica per rimuovere l'`fsx:*`autorizzazione e aggiungere `fsx` azioni specifiche. | 13 luglio 2023 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire agli utenti di visualizzare metriche di prestazioni migliorate e azioni consigliate FSx per i file system Windows File Server nella console Amazon FSx . | 21 settembre 2022 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire agli utenti di visualizzare metriche di prestazioni migliorate e azioni consigliate FSx per i file system Windows File Server nella console Amazon FSx . | 21 settembre 2022 |
| [Amazon FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess) — Avviata la politica di tracciamento | Questa politica garantisce l'accesso in sola lettura a tutte le FSx risorse Amazon e a tutti i tag ad esse associati. | 4 febbraio 2022 |
| [Amazon FSx DeleteServiceLinkedRoleAccess](#security-iam-awsmanpol-AmazonFSxDeleteServiceLinkedRoleAccess) — Avviata la politica di tracciamento | Questa politica concede autorizzazioni amministrative che consentono FSx ad Amazon di eliminare il suo Service Linked Role per l'accesso ad Amazon S3. | 7 gennaio 2022 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire ad Amazon di FSx gestire le configurazioni di rete per i file system Amazon FSx for NetApp ONTAP. | 2 settembre 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire ad Amazon FSx di creare tag sulle tabelle di routing EC2 per chiamate con ambito limitato. | 2 settembre 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire ad Amazon di FSx creare file system Amazon FSx for NetApp ONTAP Multi-AZ. | 2 settembre 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire ad Amazon FSx di creare tag sulle tabelle di routing EC2 per chiamate con ambito limitato. | 2 settembre 2021 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire ad Amazon di FSx descrivere e scrivere su CloudWatch Logs i flussi di log. Ciò è necessario per consentire agli utenti di visualizzare i registri di controllo degli accessi ai file FSx per i file system Windows File Server utilizzando Logs. CloudWatch | 08 giugno 2021 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire ad Amazon di FSx descrivere e scrivere nei flussi di distribuzione di Amazon Data Firehose. Ciò è necessario per consentire agli utenti di visualizzare i log di controllo degli accessi ai file FSx per un file system Windows File Server utilizzando Amazon Data Firehose. | 08 giugno 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire ai responsabili di descrivere e creare gruppi di log di CloudWatch Logs, log stream e scrivere eventi nei flussi di log. Ciò è necessario affinché i responsabili possano visualizzare i log di controllo degli accessi ai file FSx per i file system di Windows File Server utilizzando Logs. CloudWatch | 08 giugno 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire ai mandanti di descrivere e scrivere record su Amazon Data Firehose. Ciò è necessario per consentire agli utenti di visualizzare i log di controllo degli accessi ai file FSx per un file system Windows File Server utilizzando Amazon Data Firehose. | 08 giugno 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire ai responsabili di descrivere i gruppi di log di Amazon CloudWatch Logs associati all'account che effettua la richiesta. Ciò è necessario affinché i responsabili possano scegliere un gruppo di log CloudWatch Logs esistente durante la configurazione del controllo dell'accesso ai file per un FSx file system per Windows File Server. | 08 giugno 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire ai mandanti di descrivere i flussi di distribuzione di Amazon Data Firehose associati all'account che effettua la richiesta. Ciò è necessario affinché i responsabili possano scegliere un flusso di distribuzione Firehose esistente durante la configurazione del controllo dell'accesso ai file per FSx un file system Windows File Server. | 08 giugno 2021 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire ai responsabili di descrivere i gruppi di log di Amazon CloudWatch Logs associati all'account che effettua la richiesta. Ciò è necessario per consentire ai responsabili di visualizzare la configurazione esistente di controllo dell'accesso ai file per un file system FSx per Windows File Server. | 08 giugno 2021 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): aggiornamento a una politica esistente | Amazon FSx ha aggiunto nuove autorizzazioni per consentire ai mandanti di descrivere i flussi di distribuzione di Amazon Data Firehose associati all'account che effettua la richiesta. Ciò è necessario per consentire ai responsabili di visualizzare la configurazione esistente di controllo dell'accesso ai file per un FSx file system per Windows File Server. | 08 giugno 2021 |
| Amazon FSx ha iniziato a tracciare le modifiche | Amazon FSx ha iniziato a tracciare le modifiche alle sue politiche AWS gestite. | 08 giugno 2021 |
# Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon FSx for Lustre
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con Amazon FSx e IAM.
**Topics**
+ [Non sono autorizzato a eseguire un'azione in Amazon FSx](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Voglio consentire a persone esterne Account AWS a me di accedere alle mie FSx risorse Amazon](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un'azione in Amazon FSx
Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.
L’errore di esempio seguente si verifica quando l’utente IAM `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `fsx:GetWidget` fittizie.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: fsx:GetWidget on resource: my-example-widget
```
In questo caso, la policy per l’utente `mateojackson` deve essere aggiornata per consentire l’accesso alla risorsa `my-example-widget` utilizzando l’azione `fsx:GetWidget`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue politiche devono essere aggiornate per consentirti di trasferire un ruolo ad Amazon FSx.
Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in Amazon FSx. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne Account AWS a me di accedere alle mie FSx risorse Amazon
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per consentire alle persone di accedere alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Amazon FSx supporta queste funzionalità, consulta[Come funziona Amazon FSx for Lustre con IAM](security_iam_service-with-iam.md).
+ Per scoprire come fornire l'accesso alle tue risorse attraverso Account AWS le risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
# Usare i tag con Amazon FSx
Puoi utilizzare i tag per controllare l'accesso alle FSx risorse Amazon e implementare il controllo degli accessi basato sugli attributi (ABAC). Per applicare tag alle FSx risorse Amazon durante la creazione, gli utenti devono disporre di determinate autorizzazioni AWS Identity and Access Management (IAM).
## Concessione dell'autorizzazione all'applicazione di tag per le risorse durante la creazione
Con alcune azioni dell'API FSx Amazon for Lustre che creano risorse, puoi specificare i tag quando crei la risorsa. Puoi utilizzare questi tag di risorse per implementare il controllo degli accessi basato sugli attributi (ABAC). Per ulteriori informazioni, consulta A [cosa serve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l'utente di IAM*.
Affinché gli utenti possano taggare le risorse al momento della creazione, devono disporre dell'autorizzazione a utilizzare l'azione che crea la risorsa, ad esempio`fsx:CreateFileSystem`. Se i tag sono specificati nell'azione di creazione della risorsa, IAM esegue un'autorizzazione aggiuntiva sull'`fsx:TagResource`azione per verificare se gli utenti dispongono delle autorizzazioni per creare tag. Pertanto, gli utenti devono disporre anche di autorizzazioni esplicite a utilizzare l’azione `fsx:TagResource`.
La seguente politica di esempio consente agli utenti di creare file system e applicare loro tag durante la creazione in uno specifico. Account AWS
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": [
"arn:aws:fsx:region:account-id:file-system/*"
]
}
]
}
```
Analogamente, la seguente politica consente agli utenti di creare backup su un file system specifico e di applicare qualsiasi tag al backup durante la creazione del backup.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*"
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:backup/*"
}
]
}
```
L'`fsx:TagResource`azione viene valutata solo se i tag vengono applicati durante l'azione di creazione della risorsa. Pertanto, un utente che dispone delle autorizzazioni per creare una risorsa (presupponendo che non vi siano condizioni di etichettatura) non necessita dell'autorizzazione per utilizzare l'`fsx:TagResource`azione se nella richiesta non sono specificati tag. Tuttavia, se l'utente tenta di creare una risorsa con tag, la richiesta ha esito negativo se non dispone delle autorizzazioni per utilizzare l'operazione `fsx:TagResource`.
Per ulteriori informazioni sull'etichettatura FSx delle risorse Amazon, consulta[Etichetta le tue risorse Amazon FSx for Lustre](tag-resources.md). Per ulteriori informazioni sull'uso dei tag per controllare l'accesso alle risorse di Amazon FSx for Lustre, consulta[Utilizzo dei tag per controllare l'accesso alle FSx risorse Amazon](#restrict-fsx-access-tags).
## Utilizzo dei tag per controllare l'accesso alle FSx risorse Amazon
Per controllare l'accesso alle FSx risorse e alle azioni di Amazon, puoi utilizzare le policy IAM basate sui tag. È possibile fornire il controllo in due modi:
+ Puoi controllare l'accesso alle FSx risorse Amazon in base ai tag presenti su tali risorse.
+ Puoi controllare quali tag possono essere trasferiti in una condizione di richiesta IAM.
Per informazioni su come utilizzare i tag per controllare l'accesso alle AWS risorse, consulta [Controlling access using tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) nella *IAM User Guide*. Per ulteriori informazioni sull'etichettatura FSx delle risorse Amazon al momento della creazione, consulta[Concessione dell'autorizzazione all'applicazione di tag per le risorse durante la creazione](#supported-iam-actions-tagging). Per ulteriori informazioni sull'assegnazione di tag alle risorse, consulta [Etichetta le tue risorse Amazon FSx for Lustre](tag-resources.md).
### Controllo dell'accesso in base ai tag di una risorsa
Per controllare quali azioni un utente o un ruolo può eseguire su una FSx risorsa Amazon, puoi utilizzare i tag sulla risorsa. Ad esempio, è possibile consentire o negare operazioni API specifiche su una risorsa di gateway di file in base alla coppia chiave-valore del tag sulla risorsa.
**Example Politica di esempio: crea un file system attivo quando fornisci un tag specifico**
Questa politica consente all'utente di creare un file system solo quando lo contrassegna con una coppia chiave-valore specifica, in questo esempio`key=Department, value=Finance`.
```
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
```
**Example Politica di esempio: crea backup solo su file system con un tag specifico**
Questa politica consente agli utenti di creare backup solo su file system etichettati con la coppia `key=Department, value=Finance` chiave-valore e il backup verrà creato con il tag. `Deparment=Finance`
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource",
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example Politica di esempio: crea un file system con un tag specifico partendo da backup con un tag specifico**
Questa politica consente agli utenti di creare file system etichettati con `Department=Finance` solo a partire da backup contrassegnati con. `Department=Finance`
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystemFromBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystemFromBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
}
]
}
```
**Example Politica di esempio: eliminare i file system con tag specifici**
Questa politica consente a un utente di eliminare solo i file system contrassegnati con`Department=Finance`. Se creano un backup finale, deve essere contrassegnato con`Department=Finance`. FSx Per quanto riguarda i file system Lustre, gli utenti devono avere il `fsx:CreateBackup` privilegio di creare il backup finale.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DeleteFileSystem"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example Politica di esempio: creazione di attività di archiviazione dei dati su file system con tag specifici**
Questa politica consente agli utenti di creare attività di archivio di dati contrassegnate con `Department=Finance` e solo su file system contrassegnati con. `Department=Finance`
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateDataRepositoryTask"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateDataRepositoryTask",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:task/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
# Utilizzo di ruoli collegati ai servizi per Amazon FSx
Amazon FSx utilizza ruoli [collegati ai servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente ad Amazon. FSx I ruoli collegati ai servizi sono predefiniti da Amazon FSx e includono tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per tuo conto.
Un ruolo collegato al servizio semplifica la configurazione di Amazon FSx perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Amazon FSx definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo Amazon FSx può assumerne i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun’altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. In questo modo proteggi le tue FSx risorse Amazon perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
**Per informazioni su altri servizi che supportano ruoli collegati ai servizi, consulta i [AWS servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi con **Sì** nella colonna Ruoli collegati ai servizi.** Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
## Autorizzazioni di ruolo collegate ai servizi per Amazon FSx
Amazon FSx utilizza due ruoli collegati ai servizi denominati `AWSServiceRoleForAmazonFSx` e `AWSServiceRoleForFSxS3Access_fs-01234567890` che eseguono determinate azioni nel tuo account. Esempi di queste azioni sono la creazione di interfacce di rete elastiche per i tuoi file system nel tuo VPC e l'accesso al tuo repository di dati in un bucket Amazon S3. Infatti`AWSServiceRoleForFSxS3Access_fs-01234567890`, questo ruolo collegato al servizio viene creato per ogni file system Amazon FSx for Lustre creato che è collegato a un bucket S3.
### AWSServiceRoleForAmazonFSx dettagli sulle autorizzazioni
Infatti`AWSServiceRoleForAmazonFSx`, la politica di autorizzazione dei ruoli consente FSx ad Amazon di completare le seguenti azioni amministrative per conto dell'utente su tutte le AWS risorse applicabili:
Per gli aggiornamenti a questa policy, consulta [Amazon FSx ServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonFSxServiceRolePolicy).
**Nota**
AWSServiceRoleForAmazonFSx Viene utilizzato da tutti i tipi di FSx file system di Amazon; alcune delle autorizzazioni elencate non sono applicabili a FSx Lustre.
+ `ds`— Consente FSx ad Amazon di visualizzare, autorizzare e non autorizzare le applicazioni nella tua directory. Directory Service
+ `ec2`— Consente FSx ad Amazon di effettuare le seguenti operazioni:
+ Visualizza, crea e dissocia le interfacce di rete associate a un FSx file system Amazon.
+ Visualizza uno o più indirizzi IP elastici associati a un FSx file system Amazon.
+ Visualizza Amazon VPCs, i gruppi di sicurezza e le sottoreti associati a un FSx file system Amazon.
+ Assegna IPv6 indirizzi alle interfacce di rete dei clienti che dispongono di un tag. `AmazonFSx.FileSystemId`
+ Annulla l'assegnazione IPv6 degli indirizzi dalle interfacce di rete dei clienti che dispongono di un tag. `AmazonFSx.FileSystemId`
+ Fornire una convalida avanzata dei gruppi di sicurezza di tutti i gruppi di sicurezza che possono essere utilizzati con un VPC.
+ Crea un'autorizzazione per un utente AWS autorizzato a eseguire determinate operazioni su un'interfaccia di rete.
+ `cloudwatch`— Consente FSx ad Amazon di pubblicare punti dati metrici nello CloudWatch spazio dei FSx nomi AWS/.
+ `route53`— Consente FSx ad Amazon di associare un Amazon VPC a una zona ospitata privata.
+ `logs`— Consente FSx ad Amazon di descrivere e scrivere su CloudWatch Logs i flussi di log. In questo modo gli utenti possono inviare i registri di controllo degli accessi ai file per un file system FSx per Windows File Server a un CloudWatch flusso di log.
+ `firehose`— Consente FSx ad Amazon di descrivere e scrivere sui flussi di distribuzione di Amazon Data Firehose. In questo modo gli utenti possono pubblicare i log di controllo degli accessi ai file per un file system FSx per Windows File Server su un flusso di distribuzione di Amazon Data Firehose.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateFileSystem",
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:GetAuthorizedApplicationDetails",
"ds:UnauthorizeApplication",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAddresses",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVPCs",
"ec2:DisassociateAddress",
"ec2:GetSecurityGroupsForVpc",
"route53:AssociateVPCWithHostedZone"
],
"Resource": "*"
},
{
"Sid": "PutMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/FSx"
}
}
},
{
"Sid": "TagResourceNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "AmazonFSx.FileSystemId"
}
}
},
{
"Sid": "ManageNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:AssignPrivateIpAddresses",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:UnassignPrivateIpAddresses"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/AmazonFSx.FileSystemId": "false"
}
}
},
{
"Sid": "ManageRouteTable",
"Effect": "Allow",
"Action": [
"ec2:CreateRoute",
"ec2:ReplaceRoute",
"ec2:DeleteRoute"
],
"Resource": [
"arn:aws:ec2:*:*:route-table/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
}
}
},
{
"Sid": "PutCloudWatchLogs",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*"
},
{
"Sid": "ManageAuditLogs",
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*"
}
]
}
```
------
Eventuali aggiornamenti a questa politica sono descritti in. [FSx Aggiornamenti Amazon alle politiche AWS gestite](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella Guida per l’utente di IAM.
### AWSServiceRoleForFSxDettagli delle autorizzazioni di S3Access
Infatti`AWSServiceRoleForFSxS3Access_file-system-id`, la politica di autorizzazione dei ruoli consente FSx ad Amazon di completare le seguenti azioni su un bucket Amazon S3 che ospita il repository di dati per un file system FSx Amazon for Lustre.
+ `s3:AbortMultipartUpload`
+ `s3:DeleteObject`
+ `s3:Get*`
+ `s3:List*`
+ `s3:PutBucketNotification`
+ `s3:PutObject`
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo collegato ai servizi per Amazon FSx
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un file system nella Console di gestione AWS, la AWS CLI o l' AWS API, Amazon FSx crea automaticamente il ruolo collegato al servizio.
**Importante**
Questo ruolo collegato ai servizi può apparire nell'account se è stata completata un'operazione in un altro servizio che utilizza le funzionalità supportate dal ruolo. Per ulteriori informazioni, consulta [Un nuovo ruolo è apparso nel mio account IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando crei un file system, Amazon FSx crea nuovamente il ruolo collegato al servizio per te.
## Modifica di un ruolo collegato ai servizi per Amazon FSx
Amazon FSx non consente di modificare questi ruoli collegati ai servizi. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per Amazon FSx
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario eliminare tutti i file system e i backup prima di poter eliminare manualmente il ruolo collegato al servizio.
**Nota**
Se il FSx servizio Amazon utilizza il ruolo quando tenti di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Usa la console IAM, la CLI IAM oppure l’API IAM per eliminare il ruolo collegato al servizio AWSServiceRoleForAmazonFSx. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l’utente di IAM*.
## Regioni supportate per i ruoli collegati FSx ai servizi Amazon
Amazon FSx supporta l'utilizzo di ruoli collegati ai servizi in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta [Regioni ed endpoint di AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Controllo degli accessi ai file system con Amazon VPC
Un FSx file system Amazon è accessibile tramite un'interfaccia di rete elastica che risiede nel cloud privato virtuale (VPC) basata sul servizio Amazon VPC associato al file system. Puoi accedere al tuo FSx file system Amazon tramite il suo nome DNS, che corrisponde all'interfaccia di rete del file system. Solo le risorse all'interno del VPC associato o di un VPC peer-to-peer possono accedere all'interfaccia di rete del file system. Per ulteriori informazioni, consultare [Che cos'è Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) nella *Guida per l'utente di Amazon VPC*
**avvertimento**
Non devi modificare o eliminare l'interfaccia di rete FSx elastica di Amazon. La modifica o l'eliminazione dell'interfaccia di rete può causare una perdita permanente della connessione tra il VPC e il file system.
## Gruppi di sicurezza Amazon VPC
Per controllare ulteriormente il traffico di rete che attraversa l'interfaccia di rete del file system all'interno del VPC, utilizzate i gruppi di sicurezza per limitare l'accesso ai file system. Un *gruppo di sicurezza* funge da firewall virtuale per controllare il traffico delle risorse associate. In questo caso, la risorsa associata è l'interfaccia di rete del file system. Utilizzi anche i gruppi di sicurezza VPC per controllare il traffico di rete per Lustre clienti.
### gruppi di sicurezza abilitati all'EFA
Se intendete creare un gruppo di sicurezza compatibile con EFA FSx per Lustre, dovete prima creare un gruppo di sicurezza compatibile con EFA e specificarlo come gruppo di sicurezza per il file system. Un EFA richiede un gruppo di sicurezza che consenta tutto il traffico in entrata e in uscita da e verso il gruppo di sicurezza stesso e il gruppo di sicurezza dei client se i client risiedono in un gruppo di sicurezza diverso. Per ulteriori informazioni, consulta la [Fase 1: Preparare un gruppo di sicurezza compatibile con EFA](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/efa-start.html#efa-start-security) nella *Amazon EC2 User Guide*.
### Controllo dell'accesso tramite regole in entrata e in uscita
Per utilizzare un gruppo di sicurezza per controllare l'accesso al tuo FSx file system Amazon e Lustre clienti, aggiungi le regole in entrata per controllare il traffico in entrata e le regole in uscita per controllare il traffico in uscita dal tuo file system e Lustre clienti. Assicurati di avere le regole del traffico di rete corrette nel tuo gruppo di sicurezza per mappare la condivisione di FSx file del tuo file system Amazon su una cartella sull'istanza di calcolo supportata.
Per ulteriori informazioni sulle regole dei gruppi di sicurezza, consulta le [regole del gruppo di sicurezza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security-groups.html#security-group-rules) nella *Amazon EC2 User Guide*.
**Per creare un gruppo di sicurezza per il tuo FSx file system Amazon**
1. Apri la EC2 console Amazon in [https://console.aws.amazon.com/ec2.](https://console.aws.amazon.com/ec2)
1. Fare clic su **Security Groups (Gruppi di sicurezza)** nel pannello di navigazione.
1. Scegliere **Create Security Group (Crea un gruppo di sicurezza)**.
1. Specificare un nome e una descrizione per il gruppo di sicurezza.
1. Per **VPC**, scegli il VPC associato al tuo FSx file system Amazon per creare il gruppo di sicurezza all'interno di quel VPC.
1. Per creare il gruppo di sicurezza, scegli **Create (Crea)**.
Successivamente, aggiungi le regole in entrata al gruppo di sicurezza che hai appena creato per abilitare Lustre traffico tra i tuoi file FSx server for Lustre.
**Per aggiungere regole in entrata al tuo gruppo di sicurezza**
1. Seleziona il gruppo di sicurezza che hai appena creato se non è già selezionato. Nel menu **Actions (Operazioni)**, selezionare **Edit inbound rules (Modifica regole in entrata)**.
1. Aggiungi le seguenti regole in entrata.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/fsx/latest/LustreGuide/limit-access-security-groups.html)
1. Scegli **Salva** per salvare e applicare le nuove regole in entrata.
Per impostazione predefinita, le regole dei gruppi di sicurezza consentono tutto il traffico in uscita (Tutto, 0.0.0.0/0). Se il tuo gruppo di sicurezza non consente tutto il traffico in uscita, aggiungi le seguenti regole in uscita al tuo gruppo di sicurezza. Queste regole consentono il traffico tra i file FSx server for Lustre e Lustre client e tra Lustre file server.
**Per aggiungere regole in uscita al gruppo di sicurezza**
1. Scegli lo stesso gruppo di sicurezza a cui hai appena aggiunto le regole in entrata. Per **Azioni**, scegli **Modifica regole in uscita**.
1. Aggiungi le seguenti regole in uscita.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/fsx/latest/LustreGuide/limit-access-security-groups.html)
1. Scegli **Salva** per salvare e applicare le nuove regole in uscita.
**Per associare un gruppo di sicurezza al tuo FSx file system Amazon**
1. Apri la FSx console Amazon all'indirizzo [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Nella dashboard della console, scegli il tuo file system per visualizzarne i dettagli.
1. Nella scheda **Rete e sicurezza**, fai clic sul collegamento della ** EC2 console Amazon** in **Interfacce di rete** per visualizzare tutte le interfacce di rete per il tuo file system.
1. Per ogni interfaccia di rete, scegli **Azioni**, quindi scegli **Cambia gruppi di sicurezza**.
1. Nella finestra **di dialogo Modifica gruppi** di sicurezza, scegli i gruppi di sicurezza che desideri associare all'interfaccia di rete.
1. Seleziona **Salva**.
## Lustre regole del gruppo di sicurezza VPC client
Utilizzi i gruppi di sicurezza VPC per controllare l'accesso ai tuoi Lustre clienti aggiungendo regole in entrata per controllare il traffico in entrata e regole in uscita per controllare il traffico in uscita dal Lustre clienti. Assicurati di avere le giuste regole del traffico di rete nel tuo gruppo di sicurezza per garantire che Lustre il traffico può fluire tra i tuoi Lustre clienti e i tuoi FSx file system Amazon.
Aggiungi le seguenti regole in entrata ai gruppi di sicurezza applicati ai tuoi Lustre clienti.
| Tipo | Protocollo | Intervallo porte | Origine | Descrizione |
| --- | --- | --- | --- | --- |
| Regola TCP personalizzata | TCP | 988 | Scegli Personalizzato e inserisci il gruppo IDs di sicurezza dei gruppi di sicurezza applicati al Lustre clients | Allows Lustre traffico tra Lustre clients |
| Regola TCP personalizzata | TCP | 988 | Scegli Personalizzato e inserisci il gruppo IDs di sicurezza dei gruppi di sicurezza associati ai tuoi file FSx system for Lustre | Allows Lustre traffico tra i file FSx server for Lustre e Lustre clients |
| Regola TCP personalizzata | TCP | 1018-1023 | Scegli Personalizzato e inserisci il gruppo IDs di sicurezza dei gruppi di sicurezza applicati al Lustre clients | Allows Lustre traffico tra Lustre clients |
| Regola TCP personalizzata | TCP | 1018-1023 | Scegli Personalizzato e inserisci il gruppo IDs di sicurezza dei gruppi di sicurezza associati ai tuoi file system FSx for Lustre | Allows Lustre traffico tra i file FSx server for Lustre e Lustre clients |
Aggiungi le seguenti regole in uscita ai gruppi di sicurezza applicati al tuo Lustre clienti.
| Tipo | Protocollo | Intervallo porte | Origine | Descrizione |
| --- | --- | --- | --- | --- |
| Regola TCP personalizzata | TCP | 988 | Scegli Personalizzato e inserisci il gruppo IDs di sicurezza dei gruppi di sicurezza applicati al Lustre clients | Allows Lustre traffico tra Lustre clients |
| Regola TCP personalizzata | TCP | 988 | Scegli Personalizzato e inserisci il gruppo IDs di sicurezza dei gruppi di sicurezza associati ai tuoi file FSx system for Lustre | Consenso Lustre traffico tra i file FSx server for Lustre e Lustre clients |
| Regola TCP personalizzata | TCP | 1018-1023 | Scegli Personalizzato e inserisci il gruppo IDs di sicurezza dei gruppi di sicurezza applicati al Lustre clients | Allows Lustre traffico tra Lustre clients |
| Regola TCP personalizzata | TCP | 1018-1023 | Scegli Personalizzato e inserisci il gruppo IDs di sicurezza dei gruppi di sicurezza associati ai tuoi file system FSx for Lustre | Allows Lustre traffico tra i file FSx server for Lustre e Lustre clients |
# Rete Amazon VPC ACLs
Un'altra opzione per proteggere l'accesso al file system all'interno del VPC è la creazione di elenchi di controllo degli accessi alla rete ( ACLsrete). ACLs Le reti sono separate dai gruppi di sicurezza, ma hanno funzionalità simili per aggiungere un ulteriore livello di sicurezza alle risorse del tuo VPC. Per ulteriori informazioni sull'implementazione del controllo degli accessi tramite rete ACLs, consulta [Controllare il traffico verso le sottoreti utilizzando la rete ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) nella Amazon *VPC* User Guide.
# Convalida della conformità per Amazon FSx for Lustre
Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta la [Documentazione AWS sulla sicurezza](https://docs.aws.amazon.com/security/).
# Amazon FSx for Lustre e endpoint VPC di interfaccia ()AWS PrivateLink
Puoi migliorare il livello di sicurezza del tuo VPC configurando FSx Amazon per utilizzare un endpoint VPC di interfaccia. Gli endpoint VPC di interfaccia sono basati su una tecnologia che consente di [AWS PrivateLink](https://aws.amazon.com/privatelink)accedere ad FSx APIs Amazon in modo privato senza un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. Direct Connect Le istanze nel tuo VPC non necessitano di indirizzi IP pubblici per comunicare con Amazon. FSx APIs Il traffico tra il tuo VPC e Amazon FSx non esce dalla AWS rete.
Ogni endpoint VPC di interfaccia è rappresentato da una o più interfacce di rete elastiche nelle sottoreti. Un'interfaccia di rete fornisce un indirizzo IP privato che funge da punto di ingresso per il traffico verso l' FSx API Amazon.
## Considerazioni sugli endpoint VPC con FSx interfaccia Amazon
*Prima di configurare un endpoint VPC di interfaccia per Amazon FSx, assicurati di esaminare le proprietà [e le limitazioni dell'endpoint VPC dell'interfaccia nella Amazon VPC User Guide](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations).*
Puoi chiamare qualsiasi operazione dell' FSx API Amazon dal tuo VPC. Ad esempio, puoi creare un file system FSx for Lustre chiamando l' CreateFileSystem API dall'interno del tuo VPC. Per l'elenco completo di Amazon FSx APIs, consulta [Actions](https://docs.aws.amazon.com/fsx/latest/APIReference/API_Operations.html) in the Amazon FSx API Reference.
### Considerazioni sul peering VPC
Puoi connetterne altri VPCs al VPC con endpoint VPC di interfaccia utilizzando il peering VPC. Il peering VPC è una connessione di rete tra due. VPCs Puoi stabilire una connessione peering VPC tra i tuoi due VPCs o con un VPC in un altro. Account AWS VPCs Possono essere disponibili anche in due versioni diverse. Regioni AWS
Il traffico tra utenti VPCs peer rimane sulla AWS rete e non attraversa la rete Internet pubblica. Una volta VPCs eseguito il peering, risorse come le istanze Amazon Elastic Compute Cloud EC2 (Amazon) in entrambe VPCs possono accedere all' FSx API Amazon tramite endpoint VPC di interfaccia creati in uno dei. VPCs
## Creazione di un endpoint VPC di interfaccia per Amazon API FSx
Puoi creare un endpoint VPC per l' FSx API Amazon utilizzando la console Amazon VPC o il (). AWS Command Line Interface AWS CLI Per ulteriori informazioni, consulta [Creazione di un endpoint VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) nella Amazon *VPC* User Guide.
Per un elenco completo degli FSx endpoint Amazon, consulta la sezione [ FSx Endpoint e quote Amazon](https://docs.aws.amazon.com/general/latest/gr/fsxn.html) nel. *Riferimenti generali di Amazon Web Services*
Per creare un endpoint VPC di interfaccia per Amazon FSx, usa uno dei seguenti:
+ `com.amazonaws.region.fsx`— Crea un endpoint per le operazioni delle FSx API Amazon.
+ **`com.amazonaws.region.fsx-fips`**— Crea un endpoint per l' FSx API Amazon conforme al [Federal Information Processing Standard (FIPS](https://aws.amazon.com/compliance/fips/)) 140-2.
Per utilizzare l'opzione DNS privato, devi impostare `enableDnsSupport` gli attributi `enableDnsHostnames` e del tuo VPC. Per ulteriori informazioni, consulta [Visualizzazione e aggiornamento del supporto DNS per il tuo VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) nella *Amazon VPC* User Guide.
Ad eccezione Regioni AWS della Cina, se abiliti il DNS privato per l'endpoint, puoi effettuare richieste API ad Amazon FSx con l'endpoint VPC utilizzando il suo nome DNS predefinito per, ad esempio. Regione AWS`fsx.us-east-1.amazonaws.com` Per la Cina (Pechino) e la Cina (Ningxia) Regioni AWS, puoi effettuare richieste API con l'endpoint VPC utilizzando e, rispettivamente. `fsx-api---cn-north-1.amazonaws.com.rproxy.govskope.ca.cn` `fsx-api---cn-northwest-1.amazonaws.com.rproxy.govskope.ca.cn`
Per ulteriori informazioni, consulta [Accesso a un servizio tramite un endpoint VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) nella Amazon *VPC* User Guide.
## Creazione di una policy sugli endpoint VPC per Amazon FSx
Per controllare ulteriormente l'accesso all' FSx API Amazon, puoi opzionalmente allegare una policy AWS Identity and Access Management (IAM) al tuo endpoint VPC. La policy specifica quanto segue:
+ Il principale che può eseguire azioni.
+ Le azioni che possono essere eseguite.
+ Le risorse sui cui si possono eseguire operazioni.
Per ulteriori informazioni, consulta [Controllo degli accessi ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) in *Guida per l'utente di Amazon VPC*.