Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Accesso alle AWS risorse
<a name="accessing-data-sources"></a>


|  | 
| --- |
|    Si applica a: Enterprise Edition e Standard Edition  | 


|  | 
| --- |
|    Destinatari: amministratori di sistema e amministratori di Amazon Quick  | 

Puoi controllare le AWS risorse a cui Amazon Quick può accedere e limitare l'accesso a queste risorse a un livello più granulare. In Enterprise Edition puoi anche configurare i valori predefiniti generali di accesso per tutti gli utenti dell'account, nonché impostare accessi specifici per singoli utenti e gruppi. 

Queste configurazioni di accesso sono essenziali per la connettività delle sorgenti dati Amazon Quick Sight, in quanto consentono connessioni sicure a AWS servizi come Amazon S3, Amazon RDS, Amazon Redshift e Athena per l'analisi e la visualizzazione dei dati. Una corretta configurazione dell'accesso alle risorse garantisce che Amazon Quick Sight possa recuperare ed elaborare i dati dalle tue fonti di AWS dati mantenendo i limiti di sicurezza appropriati.

Utilizza le seguenti sezioni per aiutarti a configurare AWS le tue risorse in modo che funzionino con Quick.

Prima di iniziare, assicurati di disporre delle autorizzazioni corrette; nel caso, l'amministratore di sistema può concederle. A tale scopo, l'amministratore di sistema crea una policy che consente di utilizzare determinate operazioni IAM. L'amministratore di sistema associa quindi tale policy al tuo utente o gruppo in IAM. Di seguito sono riportate le operazioni necessarie:
+ **`quicksight:AccountConfigurations`**— Per abilitare l'impostazione dell'accesso predefinito alle AWS risorse
+ **`quicksight:ScopeDownPolicy`**— Definizione delle politiche relative alle autorizzazioni per le risorse AWS 
+ Puoi anche inserire i tuoi ruoli IAM in Amazon Quick. Per ulteriori informazioni, consulta [Passing IAM roles to Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/security-create-iam-role.html).

**Per abilitare o disabilitare i AWS servizi a cui può accedere Amazon Quick**

1. Accedi ad Amazon Quick all'indirizzo[https://quicksight.aws.amazon.com/](https://quicksight.aws.amazon.com/).

1. In alto a destra, scegli il tuo nome utente, quindi scegli **Manage Quick**. 

1. Scegli **Sicurezza e autorizzazioni**. 

1. In **QuickSight Accesso ai AWS servizi**, scegli **Aggiungi o rimuovi**.

   Viene visualizzata una schermata in cui è possibile abilitare tutti i AWS servizi disponibili.
**Nota**  
Se visualizzi un errore di autorizzazione e sei un amministratore Amazon Quick autorizzato, contatta l'amministratore di sistema per ricevere assistenza.

1. Selezionare le caselle di controllo per i servizi che desideri consentire. Deseleziona le caselle di controllo per i servizi ai quali non desideri consentire l'accesso.

   Se hai già abilitato un AWS servizio, la relativa casella di controllo è già selezionata. Se Amazon Quick non è in grado di accedere a un determinato AWS servizio, la relativa casella di controllo non è selezionata.

   A volte, è possibile che venga visualizzato un messaggio simile al seguente. 

   `This policy used by Amazon Quick for AWS resource access was modified outside of Amazon Quick, so you can no longer edit this policy to provide AWS resource permission to Amazon Quick. To edit this policy permissions, go to the IAM console and delete this policy permission with policy arn - arn:aws:iam::111122223333:policy/service-role/AWSQuickSightS3Policy. `

   Questo tipo di messaggio indica che una delle policy IAM utilizzate da Amazon Quick è stata modificata manualmente. Per risolvere questo problema, l'amministratore di sistema elimina la policy IAM elencata nel messaggio di errore e ricarica la schermata **Sicurezza e autorizzazioni** prima di riprovare.

1. Scegliere **Update (Aggiorna)** per confermare o **Cancel (Annulla)** per tornare alla schermata precedente.

**Topics**
+ [Impostazione dell'accesso granulare ai AWS servizi tramite IAM](scoping-policies-iam-interface.md)
+ [Utilizzo Gestione dei segreti AWS dei segreti anziché delle credenziali del database in Quick](secrets-manager-integration.md)

# Impostazione dell'accesso granulare ai AWS servizi tramite IAM
<a name="scoping-policies-iam-interface"></a>


|  | 
| --- |
|  Si applica a: Enterprise Edition  | 


|  | 
| --- |
|    Destinatari: amministratori di sistema e amministratori di Amazon Quick  | 

Nell'edizione Enterprise, Amazon Quick consente di configurare l'accesso dettagliato alle risorse nei AWS servizi. Come ogni altro AWS servizio, Quick utilizza le policy IAM per controllare l'accesso di utenti e gruppi.

Prima di iniziare, chiedi a un amministratore di configurare in anticipo le policy IAM necessarie. Se sono configurate, puoi selezionarle come parte della procedura descritta in questa sezione. Per informazioni sulla creazione di policy IAM da utilizzare con Quick, consulta [Gestione delle identità e degli accessi in Quick](https://docs.aws.amazon.com/quicksight/latest/user/identity.html).

**Per assegnare una policy IAM a un utente o a un gruppo**

1. Accedi a Quick all'indirizzo[https://quicksight.aws.amazon.com/](https://quicksight.aws.amazon.com/).

1. In alto a sinistra, scegli il tuo nome utente, quindi scegli **Gestisci QuickSight**.

1. Scegli **Sicurezza e autorizzazioni**. 

1. In **Resource access for individual users and groups (Accesso alle risorse per singoli utenti e gruppi)**, scegliere **IAM policy assignments (Assegnazioni policy IAM)**.

   A questo punto, nelle fasi restanti si dovrà scegliere una policy IAM da assegnare all'utente o al gruppo. Puoi assegnare più policy IAM a un utente o gruppo Amazon Quick. Per determinare le autorizzazioni, Amazon Quick esegue un'unione e un'intersezione con le Account AWS policy di livello. 

   Se si dispone già di assegnazioni di policy IAM attive, sono elencate in questa pagina. È possibile ricercare assegnazioni esistenti utilizzando la casella di ricerca. Se si dispone di bozze che non sono ancora attive sono elencate nella finestra **Assignment drafts (Bozze assegnazioni)**.

1. Seleziona una delle seguenti opzioni:
   + Per creare un'assegnazione di policy IAM, scegliere **Add new assignment (Aggiungi nuova assegnazione)**.
   + Per modificare un'assegnazione esistente, scegliere l'icona **Edit assignment (Modifica assegnazione)** per tale assegnazione.
   + Per attivare o disattivare una policy, selezionare la casella di controllo corrispondente e scegliere **Attiva** o **Disattiva**. È possibile selezionare più assegnazioni di policy in una sola volta.
   + Per eliminare un'assegnazione esistente, scegliere l'icona **Remove assignment (Rimuovi assegnazione)** accanto al nome dell'assegnazione. Per confermare la scelta, scegliere **Delete (Elimina)** nella schermata di conferma. In alternativa, scegli **Indietro** per annullare l'eliminazione. 

   Se si crea o si modifica un'assegnazione, continuare con la fase successiva. In caso contrario, andare al termine di questa procedura.

1. Nella schermata successiva, viene eseguito il processo di assegnazione delle policy, diviso in fasi. Nel procedere con le fasi è comunque possibile andare avanti o indietro per apportare modifiche. Quando si esce dalla schermata, le modifiche apportate in tutte le fasi vengono salvate. 

   1. **Fase 1: Assegnazione del nome**: se si tratta di una nuova assegnazione, inserisci un nome per l'assegnazione, quindi scegli **Avanti** per continuare. Se si desidera modificare il nome, scegliere **Step 1 (Fase 1)** a sinistra.

   1. **Fase 2: Selezione di una policy IAM**: scegli una policy IAM che desideri utilizzare. Da questa schermata è possibile interagire con le policy come segue. 
      + Scegliere una policy che si desidera utilizzare.
      + Cerca il nome di una policy.
      + Filtra l'elenco per visualizzare tutte le politiche IAM, le politiche gestite o le politiche AWS gestite dal cliente. 
      + Visualizzare una policy, scegliendo **View policy (Visualizza policy)**. 

      Per scegliere una policy, scegliere il pulsante accanto a essa, quindi **Successivo** per continuare.

   1. **Fase 3: Assegnazione di utenti e gruppi**: scegli utenti o gruppi specifici. In alternativa, scegli di utilizzare la policy IAM selezionata per tutti gli utenti e gruppi. 

      Scegliere una delle seguenti opzioni.
      + Per **Assegna a tutti gli utenti e i gruppi**, seleziona la casella di controllo per assegnare la policy IAM a tutti gli utenti e i gruppi Amazon Quick. La scelta di questa opzione assegna la policy a tutti gli utenti e gruppi presenti e futuri. 
      + Scegliere gli utenti e i gruppi che si desidera assegnare a questa policy IAM. È possibile eseguire la ricerca per nome, per indirizzo e-mail o per nome del gruppo.

      Al termine della selezione degli utenti e gruppi, scegliere **Next (Successivo)** per continuare.

   1. **Fase 4: Revisione e abilitazione delle modifiche**: salva le modifiche.

      Scegliere una delle seguenti opzioni.
      + Per modificare una delle scelte effettuate, scegliere la relativa fase da modificare.
      + Per salvare l'assegnazione di policy come bozza, scegliere **Save as draft (Salva come bozza)**. È possibile abilitare la bozza in un momento successivo.
      + Per abilitare questa policy immediatamente, scegliere **Save and enable (Salva e abilita)**. Questa opzione sovrascrive qualsiasi assegnazione di policy esistente con lo stesso nome.

# Utilizzo Gestione dei segreti AWS dei segreti anziché delle credenziali del database in Quick
<a name="secrets-manager-integration"></a>


|  | 
| --- |
|    Destinatari: amministratori di Amazon Quick e sviluppatori Amazon Quick  | 

Gestione dei segreti AWS è un servizio di archiviazione segreto che puoi utilizzare per proteggere le credenziali del database, le chiavi API e altre informazioni segrete. L'uso di una chiave garantisce che il segreto non venga compromesso da qualcuno che esamina il codice, perché semplicemente il segreto non è archiviato nel codice. Per una panoramica, consulta la [Guida per l'utente di Gestione dei segreti AWS](https://docs.aws.amazon.com/secretsmanager/latest/userguide).

Gli amministratori Quick possono concedere ad Amazon Quick l'accesso in sola lettura ai segreti che creano in Secrets Manager. Questi segreti possono essere utilizzati al posto delle credenziali del database durante la creazione e la modifica di fonti di dati utilizzando l'API Quick.

Quick supporta l'utilizzo di segreti con tipi di fonti di dati che supportano l'autenticazione a coppie di credenziali. Jira e non ServiceNow sono attualmente supportati.

**Nota**  
Se utilizzi Gestione dei segreti AWS Quick, ti verranno addebitati i costi di accesso e manutenzione come descritto nella pagina [Gestione dei segreti AWS Prezzi](https://aws.amazon.com/secrets-manager/pricing). Nell'estratto conto, i costi sono elencati in Secrets Manager e non in Amazon Quick.

Utilizza le procedure descritte nelle seguenti sezioni per integrare Secrets Manager con Amazon Quick.

**Topics**
+ [Concedere ad Amazon Quick l'accesso a Secrets Manager e a segreti selezionati](#secrets-manager-integration-select-secrets)
+ [Creazione o aggiornamento di un'origine dati con credenziali segrete utilizzando l'API Amazon Quick](#secrets-manager-integration-api)
+ [Cosa c'è nel segreto](#secrets-manager-integration-whats-in-secret)
+ [Modificare un segreto](#secrets-manager-integration-modifying)

## Concedere ad Amazon Quick l'accesso a Secrets Manager e a segreti selezionati
<a name="secrets-manager-integration-select-secrets"></a>

Se sei un amministratore e disponi di segreti in Secrets Manager, puoi concedere ad Amazon Quick l'accesso in sola lettura a segreti selezionati. 

**Per concedere ad Amazon Quick l'accesso a Secrets Manager e a determinati segreti**

1. In Amazon Quick, scegli l'icona utente in alto a destra, quindi scegli **Manage Quick**.

1. Scegli **Sicurezza e autorizzazioni** sulla sinistra.

1. Scegli **Gestisci** in **Amazon Accesso rapido alle AWS risorse**.

1. In **Consenti l'accesso e il rilevamento automatico per queste risorse**, scegli **Gestione dei segreti AWS**, **Seleziona segreti**. 

   Si apre la pagina **Segreti di Gestione dei segreti AWS **. 

1. Seleziona i segreti a cui vuoi concedere l'accesso in sola lettura ad Amazon Quick.

   I segreti nella tua regione di registrazione Amazon Quick vengono visualizzati automaticamente. Per selezionare segreti al di fuori della tua regione d'origine, scegli **Segreti in altre AWS regioni**, quindi inserisci Amazon Resource Names (ARNs) per quei segreti.

1. Al termine, scegliere **Finish (Fine)**. 

   Amazon Quick crea un ruolo IAM chiamato `aws-quicksight-secretsmanager-role-v0` nel tuo account. Garantisce agli utenti dell'account l'accesso in sola lettura ai segreti specificati e ha un aspetto simile al seguente:

   Quando gli utenti di Amazon Quick creano analisi o visualizzano dashboard che utilizzano un'origine dati con segreti, Amazon Quick assume questo ruolo di Secrets Manager IAM. Per ulteriori informazioni sulle policy di autorizzazione dei segreti, consulta [Autenticazione e controllo degli accessi per Gestione dei segreti AWS](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access.html) nella *Guida per l'utente di Gestione dei segreti AWS *.

   Il segreto specificato nel ruolo Amazon Quick IAM può avere una politica di risorse aggiuntiva che nega l'accesso. Per ulteriori informazioni, consulta [Collegamento di una policy di autorizzazioni a un segreto](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html) nella *Guida per l'utente di Gestione dei segreti AWS *.

   Se utilizzi una AWS KMS chiave AWS gestita per crittografare il tuo segreto, Amazon Quick non richiede alcuna configurazione di autorizzazioni aggiuntive in Secrets Manager.

   Se utilizzi una chiave gestita dal cliente per crittografare il tuo segreto, assicurati che il ruolo Amazon Quick IAM `aws-quicksight-secretsmanager-role-v0` disponga delle `kms:Decrypt` autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni per la chiave KMS](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html#security-encryption-authz) nella *Guida per l'utente di Gestione dei segreti AWS *.

   Per ulteriori informazioni sui tipi di chiavi utilizzati nel AWS servizio di gestione delle chiavi, consulta [le chiavi e le chiavi del cliente nella AWS guida](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt) del *servizio di gestione delle AWS chiavi*.

## Creazione o aggiornamento di un'origine dati con credenziali segrete utilizzando l'API Amazon Quick
<a name="secrets-manager-integration-api"></a>

Dopo che l'amministratore di Amazon Quick ha concesso ad Amazon Quick l'accesso in sola lettura a Secrets Manager, puoi creare e aggiornare fonti di dati nell'API utilizzando un segreto selezionato dall'amministratore come credenziali.

Di seguito è riportato un esempio di chiamata API per creare un'origine dati in Amazon Quick. Questo esempio utilizza l'operazione API `create-data-source`. È inoltre possibile utilizzare l'operazione `update-data-source`. Per ulteriori informazioni, consulta [CreateDataSource](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateDataSource.html)e [UpdateDataSource](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_UpdateDataSource.html)consulta *Amazon Quick API Reference*.

L'utente specificato nelle autorizzazioni nel seguente esempio di chiamata API può eliminare, visualizzare e modificare le sorgenti dati per l'origine dati MySQL specificata in Amazon Quick. Può inoltre visualizzare e aggiornare le autorizzazioni dell'origine dati. Invece di un nome utente e una password Amazon Quick, viene utilizzato un ARN segreto come credenziali per l'origine dati.

```
aws quicksight create-data-source 
    --aws-account-id AWSACCOUNTID \ 
    --data-source-id DATASOURCEID \
    --name NAME \
    --type MYSQL \
    --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \
    --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \
    --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \
    --region us-west-2
```

In questa chiamata, Amazon Quick autorizza l'`secretsmanager:GetSecretValue`accesso al segreto in base alla policy IAM del chiamante dell'API, non alla policy del ruolo di servizio IAM. Il ruolo di servizio IAM agisce a livello di account e viene utilizzato quando un utente visualizza un'analisi o un pannello di controllo. Non può essere utilizzato per autorizzare l'accesso segreto quando un utente crea o aggiorna l'origine dati. 

Quando modificano un'origine dati nell'interfaccia utente di Amazon Quick, gli utenti possono visualizzare l'ARN segreto per le origini dati che utilizzano Gestione dei segreti AWS come tipo di credenziale. Tuttavia, non possono modificare il segreto o selezionarne uno diverso. Se devono apportare modifiche, ad esempio al server o alla porta del database, gli utenti devono prima scegliere la **coppia di credenziali** e inserire il nome utente e la password del proprio account Amazon Quick.

I segreti vengono rimossi automaticamente da un'origine dati quando l'origine dati viene modificata nell'interfaccia utente. Per ripristinare il segreto nell'origine dati, utilizza l'operazione API `update-data-source`.

## Cosa c'è nel segreto
<a name="secrets-manager-integration-whats-in-secret"></a>

Amazon Quick richiede il seguente formato JSON per accedere al tuo segreto:

```
{
  "username": "username",
  "password": "password"
}
```

I `password` campi `username` e sono obbligatori per consentire ad Amazon Quick di accedere ai segreti. Tutti gli altri campi sono facoltativi e vengono ignorati da Amazon Quick.

Il formato JSON può variare a seconda del tipo di database. *Per ulteriori informazioni, consulta la [struttura JSON dei segreti delle credenziali del Gestione dei segreti AWS database](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_secret_json_structure.html) nella Guida per l'Gestione dei segreti AWS utente.*

## Modificare un segreto
<a name="secrets-manager-integration-modifying"></a>

Per modificare un segreto, si utilizza Secrets Manager. Dopo aver apportato modifiche a un segreto, gli aggiornamenti diventano disponibili la prossima volta che Amazon Quick richiede l'accesso al segreto.