Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Servizio di Identity and Access Management per AWS Parallel Computing
AWS Identity and Access Management (IAM) è un software Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato (disporre delle autorizzazioni*) a utilizzare le risorse PCS. AWS IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come funziona AWS Parallel Computing Service con IAM](security_iam_service-with-iam.md)
+ [Esempi di policy basate sull'identità per Parallel Computing Service AWS](security_iam_id-based-policy-examples.md)
+ [AWS politiche gestite per AWS Parallel Computing Service](security-iam-awsmanpol.md)
+ [Ruoli collegati ai servizi per PCS AWS](service-linked-roles.md)
+ [Ruolo Spot di Amazon EC2 per PCS AWS](spot-role.md)
+ [Autorizzazioni minime per AWS PCS](security-min-permissions.md)
+ [Profili di istanza IAM per AWS Parallel Computing Service](security-instance-profiles.md)
+ [Risoluzione dei problemi di identità e accesso al AWS Parallel Computing Service](security_iam_troubleshoot.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi di identità e accesso al AWS Parallel Computing Service](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come funziona AWS Parallel Computing Service con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate sull'identità per Parallel Computing Service AWS](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*.
### Identità federata
Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come funziona AWS Parallel Computing Service con IAM
Prima di utilizzare IAM per gestire l'accesso ai AWS PCS, scopri quali funzionalità IAM sono disponibili per l'uso con AWS PCS.
**Funzionalità IAM che puoi utilizzare con AWS Parallel Computing Service**
| Funzionalità IAM | AWS Supporto PCS |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies) | No |
| [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources) | Sì |
| [Chiavi di condizione della policy (specifica del servizio)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sì |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags) | Sì |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Autorizzazioni del principale](#security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-roles-service) | No |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | Sì |
Per avere una visione di alto livello di come AWS PCS e altri AWS servizi funzionano con la maggior parte delle funzionalità IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
## Politiche basate sull'identità per i PC AWS
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
### Esempi di policy basate sull'identità per PCS AWS
Per visualizzare esempi di politiche AWS PCS basate sull'identità, vedere. [Esempi di policy basate sull'identità per Parallel Computing Service AWS](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse all'interno di PCS AWS
**Supporta le policy basate su risorse:** no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Azioni politiche per PCS AWS
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Per visualizzare un elenco delle azioni AWS PCS, vedere [Azioni definite da AWS Parallel Computing Service nel Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_your_service.html#your_service-actions-as-permissions) *Authorization* Reference.
Le azioni politiche in AWS PCS utilizzano il seguente prefisso prima dell'azione:
```
pcs
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"pcs:action1",
"pcs:action2"
]
```
## Risorse politiche per AWS PCS
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Per visualizzare un elenco dei tipi di risorse AWS PCS e relativi ARNs, vedere [Resources Defined by AWS Parallel Computing Service nel Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_your_service.html#your_service-resources-for-iam-policies) *Authorization* Reference. Per sapere con quali azioni è possibile specificare l'ARN di ogni risorsa, vedere [Azioni definite dal servizio AWS Parallel Computing](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_your_service.html#your_service-actions-as-permissions).
Per visualizzare esempi di politiche basate sull'identità AWS PCS, vedere. [Esempi di policy basate sull'identità per Parallel Computing Service AWS](security_iam_id-based-policy-examples.md)
## Chiavi relative alle condizioni delle policy per PCS AWS
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Per visualizzare un elenco delle chiavi di condizione AWS PCS, consulta [Condition Keys for AWS Parallel Computing Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_your_service.html#your_service-policy-keys) nel *Service Authorization Reference*. Per sapere con quali azioni e risorse è possibile utilizzare una chiave di condizione, consulta [Actions Defined by AWS Parallel Computing Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_your_service.html#your_service-actions-as-permissions).
Per visualizzare esempi di politiche basate sull'identità AWS PCS, vedere. [Esempi di policy basate sull'identità per Parallel Computing Service AWS](security_iam_id-based-policy-examples.md)
## ACLs AWS in PCS
**Supporti ACLs:** no
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## ABAC con PCS AWS
**Supporta ABAC (tag nelle policy):** sì
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base ad attributi chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
## Utilizzo di credenziali temporanee con PCS AWS
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono un accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Autorizzazioni principali multiservizio per PCS AWS
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale chiamante an Servizio AWS, combinate con la richiesta di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli di servizio per PCS AWS
**Supporta i ruoli di servizio:** no
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio potrebbe interrompere la funzionalità AWS PCS. Modifica i ruoli di servizio solo quando AWS PCS fornisce indicazioni in tal senso.
## Ruoli collegati ai servizi per PCS AWS
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per informazioni dettagliate sulla creazione o la gestione di ruoli collegati ai servizi AWS PCS, consulta. [Ruoli collegati ai servizi per PCS AWS](service-linked-roles.md)
# Esempi di policy basate sull'identità per Parallel Computing Service AWS
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare AWS risorse PCS. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per informazioni dettagliate sulle azioni e sui tipi di risorse definiti da AWS PCS, incluso il formato di ARNs per ciascun tipo di risorsa, vedere [Actions, Resources and Condition Keys for AWS Parallel Computing Service nel Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_your_service.html) *Authorization Reference*.
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console PCS AWS](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse AWS PCS nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console PCS AWS
Per accedere alla console di AWS Parallel Computing Service, è necessario disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse AWS PCS presenti nel tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario concedere autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Per ulteriori informazioni sulle autorizzazioni minime richieste per utilizzare la console AWS PCS, consulta. [Autorizzazioni minime per AWS PCS](security-min-permissions.md)
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS politiche gestite per AWS Parallel Computing Service
Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## AWS politica gestita: AWSPCSCompute NodePolicy
Puoi collegarti AWSPCSCompute NodePolicy alle tue entità IAM. Puoi collegare questa policy a un ruolo IAM del nodo di calcolo AWS PCS da te specificato per consentire ai nodi che utilizzano quel ruolo di connettersi a un cluster AWS PCS.
AWS PCS associa questa politica a un ruolo di gruppo di nodi di calcolo quando si utilizza la console per creare un gruppo di nodi di calcolo.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `pcs:RegisterComputeNodeGroupInstance`— Consenti a un nodo di calcolo AWS PCS (istanza EC2) di registrarsi in un cluster PCS. AWS
Per vedere le autorizzazioni per questa policy, consulta [AWSPCSComputeNodePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPCSComputeNodePolicy.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## AWS politica gestita: AWSPCSService RolePolicy
Non puoi collegarti AWSPCSService RolePolicy alle tue entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente a AWS PCS di eseguire azioni per tuo conto. Per ulteriori informazioni, consulta [Ruoli collegati ai servizi per PCS AWS](service-linked-roles.md).
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `ec2`— Consente a AWS PCS di creare e gestire risorse Amazon EC2.
+ `iam`— Consente a AWS PCS di creare un ruolo collegato ai servizi per la flotta Amazon EC2 e di passare il ruolo ad Amazon EC2.
+ `cloudwatch`— Consente a AWS PCS di pubblicare i parametri del servizio su Amazon CloudWatch.
+ `secretsmanager`— Consente a AWS PCS di gestire i segreti per le risorse del cluster AWS PCS.
Per vedere le autorizzazioni per questa policy, consulta [AWSPCSServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPCSServiceRolePolicy.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## AWS Aggiornamenti PCS alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per AWS PCS da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei documenti AWS PCS.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWSPCSServiceRolePolicy](#security-iam-awsmanpol-service-role-policy): aggiornamento a una policy esistente | AWS PCS ha aggiunto nuove autorizzazioni per supportare Capacity Blocks per una capacità di calcolo prevedibile. È stata aggiunta `ec2:DescribeCapacityReservations` l'autorizzazione per consentire a AWS PCS di rilevare e utilizzare le prenotazioni di Capacity Block per i gruppi di nodi di calcolo. | 11 settembre 2025 |
| [AWSPCSComputeNodePolicy](#security-iam-awsmanpol-AWSPCSComputeNodePolicy): nuova policy | AWS PCS ha aggiunto una nuova politica per concedere l'autorizzazione ai nodi di calcolo AWS PCS per la connessione ai cluster AWS PCS. AWS PCS associa questa policy a un ruolo IAM quando si crea un gruppo di nodi di calcolo nella console PCS. AWS | 23 giugno 2025 |
| È stato aggiornato il codice JSON in questo documento | È stato corretto il codice JSON in questo documento per includerlo. `"arn:aws:ec2:*:*:spot-instances-request/*"` | 5 settembre 2024 |
| AWS PCS ha iniziato a tracciare le modifiche | AWS PCS ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 28 agosto 2024 |
# Ruoli collegati ai servizi per PCS AWS
AWS Parallel Computing Service utilizza ruoli AWS Identity and Access Management collegati ai [servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente al PCS. AWS I ruoli collegati ai servizi sono predefiniti da AWS PCS e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione di AWS PCS perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS PCS definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo AWS PCS può assumerne i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM.
È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. Questo protegge le tue risorse AWS PCS perché non puoi rimuovere accidentalmente l'autorizzazione ad accedere alle risorse.
Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta [AWS i servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi con **Sì** nella colonna Ruoli collegati ai **servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
## Autorizzazioni di ruolo collegate ai servizi per PC AWS
AWS PCS utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForPCS**: concede l'autorizzazione a AWS PCS per gestire le risorse Amazon EC2.
Il ruolo AWSService RoleFor PCS collegato al servizio prevede che i seguenti servizi assumano il ruolo:
+ `pcs.amazonaws.com`
La politica di autorizzazione dei ruoli denominata [AWSPCSServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-service-role-policy)consente a AWS PCS di completare azioni su risorse specifiche.
Per consentire a utenti, gruppi o ruoli di creare, modificare o eliminare un ruolo orientato ai servizi, devi configurare le autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo collegato al servizio per PCS AWS
Non è necessario creare manualmente un ruolo collegato al servizio. AWS PCS crea automaticamente un ruolo collegato al servizio quando crei un cluster.
## Modifica di un ruolo collegato al servizio per PCS AWS
AWS PCS non consente di modificare il ruolo collegato al servizio AWSService RoleFor PCS. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per PCS AWS
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
**Nota**
Se il servizio AWS PCS utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per rimuovere le risorse AWS PCS utilizzate dal AWSService RoleFor PCS**
È necessario eliminare tutti i cluster per eliminare il ruolo collegato al servizio AWSService RoleFor PCS. Per ulteriori informazioni, consulta [Eliminare](what-is-service.md) un cluster.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al servizio AWSService RoleFor PCS. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per i ruoli collegati ai servizi AWS PCS
AWS PCS supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per maggiori informazioni, consulta [Regioni ed endpoint di AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Ruolo Spot di Amazon EC2 per PCS AWS
Se desideri creare un gruppo di nodi di elaborazione AWS PCS che utilizzi **Spot** come opzione di acquisto, devi avere anche il ruolo collegato al servizio **AWSServiceRoleForEC2Spot**. Account AWSÈ possibile utilizzare il seguente AWS CLI comando per creare il ruolo. *Per ulteriori informazioni, consulta [Creare un ruolo collegato al servizio e Creare un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) [per delegare le autorizzazioni a un AWS servizio nella Guida per](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) l'utente.AWS Identity and Access Management *
```
aws iam create-service-linked-role --aws-service-name spot.amazonaws.com
```
**Nota**
Riceverai il seguente errore se disponi Account AWS già di un ruolo IAM. `AWSServiceRoleForEC2Spot`
```
An error occurred (InvalidInput) when calling the CreateServiceLinkedRole operation: Service role name AWSServiceRoleForEC2Spot has been taken in this account, please try a different suffix.
```
# Autorizzazioni minime per AWS PCS
Questa sezione descrive le autorizzazioni IAM minime richieste per un'identità IAM (utente, gruppo o ruolo) per utilizzare il servizio.
**Contents**
+ [Autorizzazioni minime per utilizzare le azioni API](#security-min-permissions_api)
+ [Autorizzazioni minime per l'utilizzo dei tag](#security-min-permissions_tagging)
+ [Autorizzazioni minime per supportare i log](#security-min-permissions_logging)
+ [Autorizzazioni minime per utilizzare Capacity Blocks](#security-min-permissions_capacity-blocks)
+ [Autorizzazioni minime per un amministratore del servizio](#security-min-permissions_admin-policy)
## Autorizzazioni minime per utilizzare le azioni API
| Azione API | Autorizzazioni minime | Autorizzazioni aggiuntive per la console |
| --- | --- | --- |
| CreateCluster | ec2:CreateNetworkInterface,
ec2:DescribeVpcs,
ec2:DescribeSubnets,
ec2:DescribeSecurityGroups,
ec2:GetSecurityGroupsForVpc,
iam:CreateServiceLinkedRole,
secretsmanager:CreateSecret,
secretsmanager:TagResource,
secretsmanager:RotateSecret,
pcs:CreateCluster
| |
| ListClusters | pcs:ListClusters
| |
| GetCluster | pcs:GetCluster
| ec2:DescribeSubnets
|
| DeleteCluster | pcs:DeleteCluster
| |
| CreateComputeNodeGroup | ec2:DescribeVpcs,
ec2:DescribeSubnets,
ec2:DescribeSecurityGroups,
ec2:DescribeLaunchTemplates,
ec2:DescribeLaunchTemplateVersions,
ec2:DescribeInstanceTypes,
ec2:DescribeInstanceTypeOfferings,
ec2:RunInstances,
ec2:CreateFleet,
ec2:CreateTags,
iam:PassRole,
iam:GetInstanceProfile,
pcs:CreateComputeNodeGroup
| iam:ListInstanceProfiles,
ec2:DescribeImages,
pcs:GetCluster
|
| ListComputerNodeGroups | pcs:ListComputeNodeGroups
| pcs:GetCluster
|
| GetComputeNodeGroup | pcs:GetComputeNodeGroup
| ec2:DescribeSubnets
|
| UpdateComputeNodeGroup | ec2:DescribeVpcs,
ec2:DescribeSubnets,
ec2:DescribeSecurityGroups,
ec2:DescribeLaunchTemplates,
ec2:DescribeLaunchTemplateVersions,
ec2:DescribeInstanceTypes,
ec2:DescribeInstanceTypeOfferings,
ec2:RunInstances,
ec2:CreateFleet,
ec2:CreateTags,
iam:PassRole,
iam:GetInstanceProfile,
pcs:UpdateComputeNodeGroup
| pcs:GetComputeNodeGroup,
iam:ListInstanceProfiles,
ec2:DescribeImages,
pcs:GetCluster
|
| DeleteComputeNodeGroup | pcs:DeleteComputeNodeGroup
| |
| CreateQueue | pcs:CreateQueue
| pcs:ListComputeNodeGroups,
pcs:GetCluster
|
| ListQueues | pcs:ListQueues
| pcs:GetCluster
|
| GetQueue | pcs:GetQueue
| |
| UpdateQueue | pcs:UpdateQueue
| pcs:ListComputeNodeGroups,
pcs:GetQueue
|
| DeleteQueue | pcs:DeleteQueue
| |
## Autorizzazioni minime per l'utilizzo dei tag
Le seguenti autorizzazioni sono necessarie per utilizzare i tag con le risorse in AWS PCS.
```
pcs:ListTagsForResource,
pcs:TagResource,
pcs:UntagResource
```
## Autorizzazioni minime per supportare i log
AWS PCS invia i dati di registro ad Amazon CloudWatch Logs (CloudWatch Logs). Devi assicurarti che la tua identità disponga delle autorizzazioni minime per utilizzare Logs. CloudWatch Per ulteriori informazioni, consulta [Panoramica della gestione delle autorizzazioni di accesso alle risorse CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html) nella *Amazon CloudWatch Logs* User Guide.
Per informazioni sulle autorizzazioni richieste a un servizio per inviare log a CloudWatch Logs, consulta [Enabling logging from services AWS nella](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-vended-logs-permissions-V2) *Amazon CloudWatch * Logs User Guide.
## Autorizzazioni minime per utilizzare Capacity Blocks
Amazon EC2 Capacity Blocks for ML è un'opzione di acquisto di Amazon EC2 che consente di pagare in anticipo per prenotare istanze di elaborazione accelerata basate su GPU entro un intervallo di data e ora specifico per supportare carichi di lavoro di breve durata. Per ulteriori informazioni, consulta [Utilizzo dei blocchi di capacità di Amazon EC2 per ML con PCS AWS](capacity-blocks.md).
Scegli di utilizzare Capacity Blocks quando crei o aggiorni un gruppo di nodi di calcolo. L'identità IAM che usi per creare o aggiornare il gruppo di nodi di calcolo deve avere le seguenti autorizzazioni:
```
ec2:DescribeCapacityReservations
```
## Autorizzazioni minime per un amministratore del servizio
La seguente policy IAM specifica le autorizzazioni minime richieste per un'identità IAM (utente, gruppo o ruolo) per configurare e gestire il AWS servizio PCS.
**Nota**
Gli utenti che non configurano e gestiscono il servizio non richiedono queste autorizzazioni. Gli utenti che eseguono solo processi utilizzano Secure Shell (SSH) per connettersi al cluster. AWS Identity and Access Management (IAM) non gestisce l'autenticazione o l'autorizzazione per SSH.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PCSAccess",
"Effect": "Allow",
"Action": [
"pcs:*"
],
"Resource": "*"
},
{
"Sid": "EC2Access",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DescribeImages",
"ec2:GetSecurityGroupsForVpc",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ec2:DescribeLaunchTemplates",
"ec2:DescribeLaunchTemplateVersions",
"ec2:DescribeInstanceTypes",
"ec2:DescribeInstanceTypeOfferings",
"ec2:RunInstances",
"ec2:CreateFleet",
"ec2:CreateTags",
"ec2:DescribeCapacityReservations"
],
"Resource": "*"
},
{
"Sid": "IamInstanceProfile",
"Effect": "Allow",
"Action": [
"iam:GetInstanceProfile"
],
"Resource": "*"
},
{
"Sid": "IamPassRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/*/AWSPCS*",
"arn:aws:iam::*:role/AWSPCS*",
"arn:aws:iam::*:role/aws-pcs/*",
"arn:aws:iam::*:role/*/aws-pcs/*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"ec2.amazonaws.com"
]
}
}
},
{
"Sid": "SLRAccess",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleFor*",
"arn:aws:iam::*:role/aws-service-role/spot.amazonaws.com/AWSServiceRoleFor*"
],
"Condition": {
"StringLike": {
"iam:AWSServiceName": [
"pcs.amazonaws.com",
"spot.amazonaws.com"
]
}
}
},
{
"Sid": "AccessKMSKey",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey",
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "SecretManagementAccess",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:TagResource",
"secretsmanager:UpdateSecret",
"secretsmanager:RotateSecret"
],
"Resource": "*"
},
{
"Sid": "ServiceLogsDelivery",
"Effect": "Allow",
"Action": [
"pcs:AllowVendedLogDeliveryForResource",
"logs:PutDeliverySource",
"logs:PutDeliveryDestination",
"logs:CreateDelivery"
],
"Resource": "*"
}
]
}
```
# Profili di istanza IAM per AWS Parallel Computing Service
Le applicazioni eseguite su un'istanza EC2 devono includere AWS le credenziali in tutte le richieste AWS API effettuate. Ti consigliamo di utilizzare un ruolo IAM per gestire le credenziali temporanee sull'istanza EC2. A tale scopo, puoi definire un profilo di istanza e collegarlo alle tue istanze. Per ulteriori informazioni, consulta [i ruoli IAM per Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) nella *Amazon Elastic Compute Cloud User Guide*.
**Nota**
Quando si utilizza per Console di gestione AWS creare un ruolo IAM per Amazon EC2, la console crea automaticamente un profilo di istanza e gli assegna lo stesso nome del ruolo IAM. Se utilizzi le AWS CLI azioni AWS API o un AWS SDK per creare il ruolo IAM, crei il profilo dell'istanza come azione separata. Per ulteriori informazioni, consulta [Profili di istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#ec2-instance-profile) nella *Guida per l'utente di Amazon Elastic Compute Cloud*.
È necessario specificare l'Amazon Resource Name (ARN) di un profilo di istanza quando si creano gruppi di nodi di calcolo. Puoi scegliere diversi profili di istanza per alcuni o tutti i gruppi di nodi di calcolo.
## Requisiti
### Ruolo IAM del profilo dell'istanza
Il ruolo IAM associato al profilo dell'istanza deve essere presente `/aws-pcs/` nel percorso, oppure il nome deve iniziare con`AWSPCS`.
**Esempio di ruolo IAM ARNs**
+ `arn:aws:iam::*:role/AWSPCS-example-role-1`
+ `arn:aws:iam::*:role/aws-pcs/example-role-2`
### Permissions
Il ruolo IAM associato al profilo di istanza per AWS PCS deve includere la seguente policy.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"pcs:RegisterComputeNodeGroupInstance"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
## Politiche aggiuntive
Prendi in considerazione l'aggiunta di politiche gestite al profilo dell'istanza. Esempio:
+ [AmazonS3 ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3ReadOnlyAccess.html) fornisce accesso in sola lettura a tutti i bucket S3.
+ [Amazon SSMManaged InstanceCore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html) abilita le funzionalità principali del servizio AWS Systems Manager, come l'accesso remoto direttamente dalla Console di gestione Amazon.
+ [CloudWatchAgentServerPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchAgentServerPolicy.html)contiene le autorizzazioni necessarie per l'uso AmazonCloudWatchAgent sui server.
Puoi anche includere le tue policy IAM che supportano il tuo caso d'uso specifico.
# Crea un profilo di istanza per AWS PCS
------
#### [ AWS PCS console ]
Seleziona **Crea un profilo di base** quando crei un gruppo di nodi di calcolo per fare in modo che AWS PCS ne crei uno per te con la policy minima richiesta.
------
#### [ Amazon EC2 console ]
Puoi creare un profilo di istanza direttamente dalla console Amazon EC2. Per ulteriori informazioni, consulta [Usare i profili di istanza](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html) nella *Guida per l'AWS Identity and Access Management utente*.
**Importante**
Assicurati di utilizzare il prefisso richiesto `AWSPCS` nel nome del ruolo IAM.
------
#### [ AWS CLI ]
**Configurazione del profilo di istanza Basic tramite AWS CLI**
**Nota**
Sostituiscilo *example-role* negli esempi seguenti con il nome del tuo ruolo IAM.
1. Crea il ruolo IAM con `/aws-pcs/` come attributo path o con un nome che inizia con`AWSPCS`.
1. Copia e incolla il seguente contenuto in un nuovo file di testo denominato`trust_policy.json`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"ec2.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole"
]
}
]
}
```
1. Utilizza 1 dei seguenti comandi per creare il ruolo IAM.
```
aws iam create-role --path /aws-pcs/ --role-name example-role --assume-role-policy-document file://trust_policy.json
```
or
```
aws iam create-role --role-name AWSPCS-example-role --assume-role-policy-document file://trust_policy.json
```
1. **Allega autorizzazioni.**
1. Copia e incolla il seguente contenuto in un nuovo file di testo denominato`policy_document.json`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"pcs:RegisterComputeNodeGroupInstance"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
1. Allega il documento di policy al ruolo. Questo comando allega la politica come politica in linea.
```
aws iam put-role-policy \
--role-name example-role \
--policy-name pcsRegisterInstancePolicy \
--policy-document file://policy_document.json
```
1. **Crea un profilo di istanza. Sostituiscilo *example-profile* con il nome del tuo profilo di istanza.**
```
aws iam create-instance-profile --instance-profile-name example-profile
```
1. **Associa il ruolo IAM al profilo dell'istanza.**
```
aws iam add-role-to-instance-profile \
--instance-profile-name example-profile \
--role-name example-role
```
------
# Trova i profili di istanza utilizzati con AWS PCS
1. Se non conosci i nomi esatti dei tuoi ruoli IAM per AWS PCS, utilizza il seguente AWS CLI comando per elencare i ruoli IAM che soddisfano i requisiti relativi ai nomi AWS PCS.
```
aws iam list-roles --query "Roles[?starts_with(RoleName, 'AWSPCS') || contains(Path, '/aws-pcs/')].[RoleName]" --output text
```
1. Utilizza il AWS CLI comando seguente per elencare i profili di istanza associati a uno specifico ruolo IAM. Sostituiscilo *role-name* con il nome di un ruolo IAM che soddisfa i requisiti relativi ai nomi AWS PCS.
```
aws iam list-instance-profiles-for-role --role-name role-name
```
# Risoluzione dei problemi di identità e accesso al AWS Parallel Computing Service
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con AWS PCS e IAM.
**Topics**
+ [Non sono autorizzato a eseguire un'azione in AWS PCS](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Desidero consentire a persone esterne Account AWS a me di accedere alle mie risorse AWS PCS](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un'azione in AWS PCS
Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.
L’errore di esempio seguente si verifica quando l’utente IAM `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `pcs:GetWidget` fittizie.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: pcs:GetWidget on resource: my-example-widget
```
In questo caso, la policy per l’utente `mateojackson` deve essere aggiornata per consentire l’accesso alla risorsa `my-example-widget` utilizzando l’azione `pcs:GetWidget`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue politiche devono essere aggiornate per consentirti di trasferire un ruolo a AWS PCS.
Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio anziché creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in AWS PCS. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Desidero consentire a persone esterne Account AWS a me di accedere alle mie risorse AWS PCS
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per concedere alle persone l'accesso alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se AWS PCS supporta queste funzionalità, consulta. [Come funziona AWS Parallel Computing Service con IAM](security_iam_service-with-iam.md)
+ Per scoprire come fornire l'accesso alle tue risorse attraverso Account AWS le risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente di IAM*.