Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Come funziona OpsWorks CM con IAM
Prima di utilizzare IAM per gestire l'accesso a OpsWorks CM, è necessario comprendere quali funzionalità IAM sono disponibili per l'uso con OpsWorks CM. Per avere una visione di alto livello di come OpsWorks CM e altri AWS servizi funzionano con IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
**Topics**
+ [OpsWorks Politiche basate sull'identità di CM](#security_iam_service-with-iam-id-based-policies-opscm)
+ [OpsWorks CM e politiche basate sulle risorse](#security_iam_resource-based-policies)
+ [Autorizzazione basata sui tag CM OpsWorks](#security_iam_tags)
+ [OpsWorks Ruoli CM IAM](#security_iam_roles)
## OpsWorks Politiche basate sull'identità di CM
Con le policy basate sull'identità IAM, puoi specificare azioni e risorse consentite o negate, nonché le condizioni in base alle quali le azioni sono consentite o negate. OpsWorks CM supporta azioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta [Documentazione di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l'utente IAM*.
In OpsWorks CM, è possibile allegare una dichiarazione politica personalizzata a un utente, ruolo o gruppo.
### Azioni
L'elemento `Action` di una policy basata su identità IAM descrive l'operazione o le operazioni specifiche che saranno concesse o rifiutate dalla policy. Le azioni politiche in genere hanno lo stesso nome dell'operazione AWS API associata. L'operazione viene utilizzata in una policy per concedere le autorizzazioni di eseguire l'operazione associata.
Le azioni politiche in OpsWorks CM utilizzano il seguente prefisso prima dell'azione:`opsworks-cm:`. Ad esempio, per concedere a qualcuno l'autorizzazione per creare un server OpsWorks CM mediante l'operazione API, includi l'operazione `opsworks-cm:CreateServer` nella policy. Le dichiarazioni politiche devono includere un `NotAction` elemento `Action` or. OpsWorks CM definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio.
Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:
```
"Action": [
"opsworks-cm:action1",
"opsworks-cm:action2"
```
È possibile specificare più azioni tramite caratteri jolly (\*). Ad esempio, per specificare tutte le azioni che iniziano con la parola `Describe`, includi la seguente azione:
```
"Action": "opsworks-cm:Describe*"
```
Quando utilizzi i caratteri jolly per consentire più operazioni in un'istruzione di policy, presta attenzione a consentire le operazioni solo per i servizi o gli utenti autorizzati.
Per visualizzare un elenco di azioni OpsWorks CM, consulta [Actions, Resources and Condition Keys for AWS OpsWorks](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsopsworks.html) nella *IAM User Guide*.
### Resources
L'elemento `Resource` specifica l'oggetto o gli oggetti ai quali si applica l'operazione. Le istruzioni devono includere un elemento `Resource` o un elemento `NotResource`. Specifica una risorsa utilizzando un ARN o il carattere jolly (\*) per indicare che l'istruzione si applica a tutte le risorse.
Puoi ottenere l'Amazon Resource Number (ARN) di un server OpsWorks CM o di un backup eseguendo le operazioni [https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DescribeServers.html](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DescribeServers.html)o le [https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DescribeBackups.html](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DescribeBackups.html)API e basare politiche a livello di risorsa su tali risorse.
Una risorsa del server OpsWorks CM ha un ARN nel seguente formato:
```
arn:aws:opsworks-cm:{Region}:${Account}:server/${ServerName}/${UniqueId}
```
Una risorsa di backup OpsWorks CM ha un ARN nel seguente formato:
```
arn:aws:opsworks-cm:{Region}:${Account}:backup/${ServerName}-{Date-and-Time-Stamp-of-Backup}
```
Per ulteriori informazioni sul formato di ARNs, consulta [Amazon Resource Names (ARNs) e AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Ad esempio, per specificare il server `test-chef-automate` Chef Automate nell'istruzione, utilizza il seguente ARN:
```
"Resource": "arn:aws:opsworks-cm:us-west-2:123456789012:server/test-chef-automate/EXAMPLE-d1a2bEXAMPLE"
```
Per specificare tutti i server OpsWorks CM che appartengono a un account specifico, usa il carattere jolly (\*):
```
"Resource": "arn:aws:opsworks-cm:us-west-2:123456789012:server/*"
```
L'esempio seguente specifica un backup del server OpsWorks CM come risorsa:
```
"Resource": "arn:aws:opsworks-cm:us-west-2:123456789012:backup/test-chef-automate-server-2018-05-20T19:06:12.399Z"
```
Alcune azioni OpsWorks CM, come quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (\*).
```
"Resource": "*"
```
Molte operazioni API di coinvolgono più risorse. Per specificare più risorse in un'unica istruzione, separale ARNs con virgole.
```
"Resource": [
"resource1",
"resource2"
```
Per visualizzare un elenco dei tipi di risorse OpsWorks CM e relativi ARNs, consulta [Actions, Resources and Condition Keys for AWS OpsWorks CM](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsopsworksconfigurationmanagement.html) nella *IAM User Guide*. Per sapere con quali azioni è possibile specificare l'ARN di ogni risorsa, consulta [Actions, Resources, and Condition Keys for AWS OpsWorks CM](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsopsworksconfigurationmanagement.html) nella *IAM User Guide*.
### Chiavi di condizione
OpsWorks CM non dispone di chiavi contestuali specifiche del servizio che possono essere utilizzate nell'`Condition`elemento delle dichiarazioni politiche. Per l'elenco delle chiavi di contesto globali disponibili per tutti i servizi, consulta le [chiavi di contesto delle condizioni AWS globali](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys) nello *IAM Policy* Reference. Per vedere tutte le chiavi di contesto delle condizioni AWS globali, consulta [le chiavi di contesto delle condizioni AWS globali](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) nella *Guida per l'utente IAM*.
L’elemento `Condition` (o *blocco* `Condition`) consente di specificare le condizioni in cui un’istruzione è in vigore. L’elemento `Condition` è facoltativo. Puoi compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta.
Se specifichi più elementi `Condition` in un'istruzione o più chiavi in un singolo elemento `Condition`, questi vengono valutati da AWS utilizzando un'operazione `AND` logica. Se specifichi più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'`OR`operazione logica. Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell’istruzione vengano concesse.
È possibile anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, è possibile concedere a un utente l'autorizzazione ad accedere a una risorsa solo se è contrassegnata con il nome dell'utente. Per ulteriori informazioni, consulta [Elementi delle policy IAM: variabili e tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) nella *Guida per l'utente di IAM*.
### Esempi
Per visualizzare esempi di politiche basate sull'identità OpsWorks CM, vedere. [AWS OpsWorks Esempi di policy basate sull'identità CM](security_iam_id-based-policy-examples.md)
## OpsWorks CM e politiche basate sulle risorse
OpsWorks CM non supporta politiche basate sulle risorse.
Le policy basate su risorse sono documenti di policy JSON che specificano le operazioni che possono essere eseguite da un'entità principale specificata sulla risorsa e in base a quali condizioni.
## Autorizzazione basata sui tag CM OpsWorks
È possibile allegare tag alle risorse OpsWorks CM o passare i tag in una richiesta a OpsWorks CM. Per controllare l'accesso basato su tag, fornire informazioni sui tag nell'[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:RequestTag/{{key-name}}` o `aws:TagKeys`. Per ulteriori informazioni sull'etichettatura delle risorse OpsWorks CM, consulta [Lavorare con i tag sulle AWS OpsWorks for Chef Automate risorse](opscm-tags.md) o [Lavorare con i tag sulle AWS OpsWorks for Puppet Enterprise risorse](opspup-tags.md) consulta questa guida.
## OpsWorks Ruoli CM IAM
Un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) è un'entità all'interno del tuo AWS account che dispone di autorizzazioni specifiche.
OpsWorks CM utilizza due ruoli:
+ Un ruolo di servizio che concede al servizio OpsWorks CM le autorizzazioni per funzionare all'interno dell'account di AWS un utente. Se si utilizza il ruolo di servizio predefinito fornito da OpsWorks CM, il nome di questo ruolo è. `aws-opsworks-cm-service-role`
+ Un ruolo di profilo di istanza che consente al servizio OpsWorks CM di chiamare l'API OpsWorks CM. Questo ruolo consente l'accesso ad Amazon S3 CloudFormation e la creazione del server e del bucket S3 per i backup. Se utilizzi il profilo di istanza predefinito fornito da OpsWorks CM, il nome di questo ruolo del profilo di istanza è. `aws-opsworks-cm-ec2-role`
OpsWorks CM non utilizza ruoli collegati ai servizi.
### Utilizzo di credenziali temporanee con OpsWorks CM
OpsWorks CM supporta l'utilizzo di credenziali temporanee e eredita tale funzionalità da. AWS Security Token Service
È possibile utilizzare credenziali temporanee per effettuare l'accesso con la federazione, assumere un ruolo IAM o un ruolo multi-account. È possibile ottenere credenziali di sicurezza temporanee chiamando operazioni AWS STS API come o. [AssumeRole[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)
### Ruoli collegati ai servizi
OpsWorks CM non utilizza ruoli collegati ai servizi.
[I ruoli collegati ai](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) AWS servizi consentono ai servizi di accedere alle risorse di altri servizi per completare un'azione per conto dell'utente. I ruoli collegati ai servizi sono visualizzati nell'account IAM e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non può modificarle.
### Ruoli dei servizi
Questa funzionalità consente a un servizio di assumere un [ruolo di servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli dei servizi sono visualizzati nell'account IAM e sono di proprietà dell'account. Ciò significa che un amministratore IAM può modificare le autorizzazioni per questo ruolo. Tuttavia, questo potrebbe pregiudicare la funzionalità del servizio.
OpsWorks CM utilizza due ruoli:
+ Un ruolo di servizio che concede al servizio OpsWorks CM le autorizzazioni per funzionare all'interno dell'account di AWS un utente. Se si utilizza il ruolo di servizio predefinito fornito da OpsWorks CM, il nome di questo ruolo è. `aws-opsworks-cm-service-role`
+ Un ruolo di profilo di istanza che consente al servizio OpsWorks CM di chiamare l'API OpsWorks CM. Questo ruolo consente l'accesso ad Amazon S3 CloudFormation e la creazione del server e del bucket S3 per i backup. Se utilizzi il profilo di istanza predefinito fornito da OpsWorks CM, il nome di questo ruolo del profilo di istanza è. `aws-opsworks-cm-ec2-role`
### Scelta di un ruolo IAM in OpsWorks CM
Quando crei un server in OpsWorks CM, devi scegliere un ruolo per consentire a OpsWorks CM di accedere ad Amazon per tuo EC2 conto. Se hai già creato un ruolo di servizio, OpsWorks CM ti fornisce un elenco di ruoli tra cui scegliere. OpsWorks CM può creare il ruolo per te, se non ne specifichi uno. È importante scegliere un ruolo che consenta l'accesso per avviare e arrestare EC2 le istanze Amazon. Per ulteriori informazioni, consulta [Creare un server Chef Automate](gettingstarted-opscm-create.md) o [Creare un Puppet Enterprise Master](gettingstarted-opspup-create.md).