Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Come AWS IoT Greengrass funziona con IAM
Prima di utilizzare IAM per gestire l'accesso AWS IoT Greengrass, è necessario comprendere le funzionalità IAM con cui è possibile utilizzare AWS IoT Greengrass.
| Funzionalità IAM | Supportata da Greengrass? |
| --- | --- |
| [Policy basate sull'identità con autorizzazioni a livello di risorse](#security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies) | No |
| [Liste di controllo degli accessi (ACLs)](#security_iam_service-with-iam-acls) | No |
| [Autorizzazione basata su tag ](#security_iam_service-with-iam-tags) | Sì |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | No |
| [Ruoli di servizio](#security_iam_service-with-iam-roles-service-linked) | Sì |
Per una visione di alto livello di come altri AWS servizi funzionano con IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
## Politiche basate sull'identità per AWS IoT Greengrass
Con le policy basate sull'identità IAM, puoi specificare azioni e risorse consentite o negate e le condizioni in base alle quali le azioni sono consentite o negate. AWS IoT Greengrass supporta azioni, risorse e chiavi di condizione specifiche. Per conoscere tutti gli elementi utilizzati in una policy, consulta il [riferimento agli elementi della policy IAM JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *IAM User Guide*.
### Azioni
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Azioni politiche per AWS IoT Greengrass utilizzare il `greengrass:` prefisso prima dell'azione. Ad esempio, per consentire a qualcuno di utilizzare l'operazione `ListCoreDevices` API per elencare i dispositivi principali presenti nella propria politica Account AWS, è necessario includere l'`greengrass:ListCoreDevices`azione nella propria politica. Le dichiarazioni politiche devono includere un `NotAction` elemento `Action` or. AWS IoT Greengrass definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio.
Per specificare più azioni in una singola istruzione, elencale tra parentesi (`[``]`) e separale con virgole, come segue:
```
"Action": [
"greengrass:{{action1}}",
"greengrass:{{action2}}",
"greengrass:{{action3}}"
]
```
È possibile utilizzare i caratteri jolly (`*`) per specificare più operazioni. Ad esempio, per specificare tutte le azioni che iniziano con la parola `List`, includi la seguente azione:
```
"Action": "greengrass:List*"
```
**Nota**
Si consiglia di evitare l'uso di caratteri jolly per specificare tutte le operazioni disponibili per un servizio. Come procedura consigliata, è necessario concedere privilegi minimi e autorizzazioni di ambito ristretto in una policy. Per ulteriori informazioni, consulta [Concedere autorizzazioni minime possibili](security-best-practices.md#least-privilege).
Per l'elenco completo delle AWS IoT Greengrass azioni, consulta [Actions Defined by AWS IoT Greengrass](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotgreengrass.html#awsiotgreengrass-actions-as-permissions) nella *IAM User Guide*.
### Resources
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\*) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
La tabella seguente contiene la AWS IoT Greengrass risorsa ARNs che può essere utilizzata nell'`Resource`elemento di una dichiarazione politica. *Per una mappatura delle autorizzazioni a livello di risorsa supportate per le AWS IoT Greengrass azioni, consulta [Actions Defined by AWS IoT Greengrass](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotgreengrass.html#awsiotgreengrass-actions-as-permissions) nella IAM User Guide.*
Alcune AWS IoT Greengrass azioni (ad esempio, alcune operazioni sugli elenchi) non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare solo il carattere jolly.
```
"Resource": "*"
```
Per specificare più risorse ARNs in un'istruzione, elencale tra parentesi (`[``]`) e separale con virgole, come segue:
```
"Resource": [
"{{resource-arn1}}",
"{{resource-arn2}}",
"{{resource-arn3}}"
]
```
Per ulteriori informazioni sui formati ARN, consulta [Amazon Resource Names (ARNs) e i namespace dei AWS servizi](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) nel. *Riferimenti generali di Amazon Web Services*
### Chiavi di condizione
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
### Esempi
Per visualizzare esempi di politiche AWS IoT Greengrass basate sull'identità, consulta. [Esempi di policy basate sull'identità per AWS IoT Greengrass](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse per AWS IoT Greengrass
AWS IoT Greengrass [non supporta politiche basate sulle risorse.](security-iam.md#security_iam_access-manage-resource-based-policies)
## Elenchi di controllo degli accessi () ACLs
AWS IoT Greengrass non supporta [ACLs](security-iam.md#security_iam_access-manage-acl).
## Autorizzazione basata su AWS IoT Greengrass tag
È possibile allegare tag a AWS IoT Greengrass risorse supportate o passare tag in una richiesta a AWS IoT Greengrass. Per controllare l'accesso basato su tag, fornisci informazioni sui tag nell'[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione, `aws:ResourceTag/${TagKey}` o `aws:RequestTag/${TagKey}` `aws:TagKeys`. Per ulteriori informazioni, consulta [Tagga le tue AWS IoT Greengrass Version 2 risorse](tag-resources.md).
## Ruoli IAM per AWS IoT Greengrass
Un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) è un'entità all'interno dell' Account AWS che dispone di autorizzazioni specifiche.
### Utilizzo di credenziali temporanee con AWS IoT Greengrass
Le credenziali temporanee vengono utilizzate per accedere con la federazione, assumere un ruolo IAM o assumere un ruolo tra account. È possibile ottenere credenziali di sicurezza temporanee chiamando operazioni AWS STS API come o. [AssumeRole[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)
Sul core Greengrass, le credenziali temporanee per il [ruolo del dispositivo](device-service-role.md) sono rese disponibili ai componenti Greengrass. Se i componenti utilizzano l' AWS SDK, non è necessario aggiungere logica per ottenere le credenziali perché l' AWS SDK lo fa per te.
### Ruoli collegati ai servizi
AWS IoT Greengrass [non supporta ruoli collegati ai servizi.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)
### Ruoli dei servizi
Questa funzionalità consente a un servizio di assumere un [ruolo di servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli dei servizi sono visualizzati nell'account IAM e sono di proprietà dell'account. Ciò significa che un amministratore IAM può modificare le autorizzazioni per questo ruolo. Tuttavia, questo potrebbe pregiudicare la funzionalità del servizio.
AWS IoT Greengrass i dispositivi principali utilizzano un ruolo di servizio per consentire ai componenti Greengrass e alle funzioni Lambda di accedere ad alcune AWS risorse per conto dell'utente. Per ulteriori informazioni, consulta [Autorizza i dispositivi principali a interagire con i servizi AWS](device-service-role.md).
AWS IoT Greengrass utilizza un ruolo di servizio per accedere ad alcune delle tue AWS risorse per tuo conto. Per ulteriori informazioni, consulta [Ruolo del servizio Greengrass](greengrass-service-role.md).