Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Autorizzazioni minime per AWS PCS Questa sezione descrive le autorizzazioni IAM minime richieste per un'identità IAM (utente, gruppo o ruolo) per utilizzare il servizio. **Contents** + [Autorizzazioni minime per utilizzare le azioni API](#security-min-permissions_api) + [Autorizzazioni minime per l'utilizzo dei tag](#security-min-permissions_tagging) + [Autorizzazioni minime per supportare i log](#security-min-permissions_logging) + [Autorizzazioni minime per utilizzare Capacity Blocks](#security-min-permissions_capacity-blocks) + [Autorizzazioni minime per un amministratore del servizio](#security-min-permissions_admin-policy) ## Autorizzazioni minime per utilizzare le azioni API | Azione API | Autorizzazioni minime | Autorizzazioni aggiuntive per la console | | --- | --- | --- | | CreateCluster | 
ec2:CreateNetworkInterface,
ec2:DescribeVpcs,
ec2:DescribeSubnets,
ec2:DescribeSecurityGroups, 
ec2:GetSecurityGroupsForVpc, 
iam:CreateServiceLinkedRole,
secretsmanager:CreateSecret,
secretsmanager:TagResource,
secretsmanager:RotateSecret,
pcs:CreateCluster
| | | ListClusters | 
pcs:ListClusters
| | | GetCluster | 
pcs:GetCluster
| 
ec2:DescribeSubnets
| | DeleteCluster | 
pcs:DeleteCluster
| | | CreateComputeNodeGroup | 
ec2:DescribeVpcs,
ec2:DescribeSubnets,
ec2:DescribeSecurityGroups,
ec2:DescribeLaunchTemplates,
ec2:DescribeLaunchTemplateVersions,
ec2:DescribeInstanceTypes,
ec2:DescribeInstanceTypeOfferings,
ec2:RunInstances,
ec2:CreateFleet,
ec2:CreateTags,
iam:PassRole,
iam:GetInstanceProfile,
pcs:CreateComputeNodeGroup
| 
iam:ListInstanceProfiles,
ec2:DescribeImages,
pcs:GetCluster
| | ListComputerNodeGroups | 
pcs:ListComputeNodeGroups
| 
pcs:GetCluster
| | GetComputeNodeGroup | 
pcs:GetComputeNodeGroup
| 
ec2:DescribeSubnets
| | UpdateComputeNodeGroup | 
ec2:DescribeVpcs,
ec2:DescribeSubnets,
ec2:DescribeSecurityGroups,
ec2:DescribeLaunchTemplates,
ec2:DescribeLaunchTemplateVersions,
ec2:DescribeInstanceTypes,
ec2:DescribeInstanceTypeOfferings,
ec2:RunInstances,
ec2:CreateFleet,
ec2:CreateTags,
iam:PassRole,
iam:GetInstanceProfile,
pcs:UpdateComputeNodeGroup
| 
pcs:GetComputeNodeGroup,
iam:ListInstanceProfiles,
ec2:DescribeImages,
pcs:GetCluster
| | DeleteComputeNodeGroup | 
pcs:DeleteComputeNodeGroup
| | | CreateQueue | 
pcs:CreateQueue
| 
pcs:ListComputeNodeGroups,
pcs:GetCluster
| | ListQueues | 
pcs:ListQueues
| 
pcs:GetCluster
| | GetQueue | 
pcs:GetQueue
| | | UpdateQueue | 
pcs:UpdateQueue
| 
pcs:ListComputeNodeGroups,
pcs:GetQueue
| | DeleteQueue | 
pcs:DeleteQueue
| | ## Autorizzazioni minime per l'utilizzo dei tag Le seguenti autorizzazioni sono necessarie per utilizzare i tag con le risorse in AWS PCS. ``` pcs:ListTagsForResource, pcs:TagResource, pcs:UntagResource ``` ## Autorizzazioni minime per supportare i log AWS PCS invia i dati di registro ad Amazon CloudWatch Logs (CloudWatch Logs). Devi assicurarti che la tua identità disponga delle autorizzazioni minime per utilizzare Logs. CloudWatch Per ulteriori informazioni, consulta [Panoramica della gestione delle autorizzazioni di accesso alle risorse CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html) nella *Amazon CloudWatch Logs* User Guide. Per informazioni sulle autorizzazioni richieste a un servizio per inviare log a CloudWatch Logs, consulta [Enabling logging from services AWS nella](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-vended-logs-permissions-V2) *Amazon CloudWatch * Logs User Guide. ## Autorizzazioni minime per utilizzare Capacity Blocks Amazon EC2 Capacity Blocks for ML è un'opzione di acquisto di Amazon EC2 che consente di pagare in anticipo per GPU-based prenotare istanze di elaborazione accelerate entro un intervallo di data e ora specifici per supportare carichi di lavoro di breve durata. Per ulteriori informazioni, consulta [Utilizzo dei blocchi di capacità di Amazon EC2 per ML con PCS AWS](capacity-blocks.md). Scegli di utilizzare Capacity Blocks quando crei o aggiorni un gruppo di nodi di calcolo. L'identità IAM che usi per creare o aggiornare il gruppo di nodi di calcolo deve avere le seguenti autorizzazioni: ``` ec2:DescribeCapacityReservations, ec2:DescribeCapacityBlocks, ec2:DescribeCapacityBlockStatus ``` ## Autorizzazioni minime per un amministratore del servizio La seguente policy IAM specifica le autorizzazioni minime richieste per un'identità IAM (utente, gruppo o ruolo) per configurare e gestire il AWS servizio PCS. **Nota** Gli utenti che non configurano e gestiscono il servizio non richiedono queste autorizzazioni. Gli utenti che eseguono solo processi utilizzano Secure Shell (SSH) per connettersi al cluster. AWS Identity and Access Management (IAM) non gestisce l'autenticazione o l'autorizzazione per SSH. ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "PCSAccess", "Effect": "Allow", "Action": [ "pcs:*" ], "Resource": "*" }, { "Sid": "EC2Access", "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:DescribeImages", "ec2:GetSecurityGroupsForVpc", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ec2:DescribeLaunchTemplates", "ec2:DescribeLaunchTemplateVersions", "ec2:DescribeInstanceTypes", "ec2:DescribeInstanceTypeOfferings", "ec2:RunInstances", "ec2:CreateFleet", "ec2:CreateTags", "ec2:DescribeCapacityReservations", "ec2:DescribeCapacityBlocks", "ec2:DescribeCapacityBlockStatus" ], "Resource": "*" }, { "Sid": "IamInstanceProfile", "Effect": "Allow", "Action": [ "iam:GetInstanceProfile" ], "Resource": "*" }, { "Sid": "IamPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/*/AWSPCS*", "arn:aws:iam::*:role/AWSPCS*", "arn:aws:iam::*:role/aws-pcs/*", "arn:aws:iam::*:role/*/aws-pcs/*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "ec2.amazonaws.com" ] } } }, { "Sid": "SLRAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleFor*", "arn:aws:iam::*:role/aws-service-role/spot.amazonaws.com/AWSServiceRoleFor*" ], "Condition": { "StringLike": { "iam:AWSServiceName": [ "pcs.amazonaws.com", "spot.amazonaws.com" ] } } }, { "Sid": "AccessKMSKey", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey", "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "SecretManagementAccess", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:TagResource", "secretsmanager:UpdateSecret", "secretsmanager:RotateSecret" ], "Resource": "*" }, { "Sid": "ServiceLogsDelivery", "Effect": "Allow", "Action": [ "pcs:AllowVendedLogDeliveryForResource", "logs:PutDeliverySource", "logs:PutDeliveryDestination", "logs:CreateDelivery" ], "Resource": "*" } ] } ```