Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo di politiche basate sull'identità (politiche IAM) per AWS Snowball Edge
Questo argomento fornisce esempi di politiche basate sull'identità che dimostrano come un amministratore di account può collegare politiche di autorizzazione alle identità IAM (ovvero utenti, gruppi e ruoli). Queste politiche concedono quindi le autorizzazioni per eseguire operazioni sulle risorse di. AWS Snowball Edge Cloud AWS
**Importante**
In primo luogo, è consigliabile esaminare gli argomenti introduttivi in cui vengono spiegati i concetti di base e le opzioni disponibili per gestire l'accesso alle risorse AWS Snowball Edge . Per ulteriori informazioni, consulta [Panoramica della gestione delle autorizzazioni di accesso alle risorse in Cloud AWS](authentication-and-access-control.md#access-control-overview).
In questa sezione vengono trattati gli argomenti seguenti:
+ [Autorizzazioni necessarie per utilizzare la console AWS Snowball Edge](#additional-console-required-permissions)
+ [AWS-Policy gestite (predefinite) per AWS Snowball Edge](authentication-and-access-control.md#access-policy-examples-aws-managed)
+ [Esempi di policy gestite dal cliente](access-policy-examples-for-sdk-cli.md)
Di seguito viene illustrato un esempio di policy di autorizzazione.
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"snowball:*",
"importexport:*"
],
"Resource": "*"
}
]
}
```
------
La policy include due dichiarazioni:
+ La prima istruzione concede le autorizzazioni per tre azioni Amazon S3 `s3:GetBucketLocation` (`s3:GetObject`, `s3:ListBucket` e) su tutti i bucket Amazon S3 utilizzando l'*Amazon Resource* Name (ARN) di. `arn:aws:s3:::*` L'ARN specifica un carattere jolly (\*) in modo che l'utente possa scegliere uno o tutti i bucket Amazon S3 da cui esportare i dati.
+ La seconda dichiarazione concede le autorizzazioni per tutte le azioni. AWS Snowball Edge Poiché tali operazioni non supportano le autorizzazioni a livello di risorsa, la policy specifica il carattere jolly (\*) e anche il valore `Resource` specifica un carattere jolly.
La policy non specifica l'elemento `Principal` poiché in una policy basata su identità l'entità che ottiene l'autorizzazione non viene specificata. Quando alleghi una policy a un utente, l'utente è il principale implicito. Quando colleghi una policy di autorizzazioni a un ruolo IAM, il principale identificato nella policy di attendibilità del ruolo ottiene le autorizzazioni.
Per una tabella che mostra tutte le azioni dell'API di gestione dei AWS Snowball Edge lavori e le risorse a cui si applicano, consulta. [AWS Snowball Edge Autorizzazioni API: riferimento ad azioni, risorse e condizioni](access-policy-examples-for-sdk-cli.md#snowball-api-permissions-ref)
## Autorizzazioni necessarie per utilizzare la console AWS Snowball Edge
La tabella di riferimento delle autorizzazioni elenca le operazioni dell'API di gestione dei AWS Snowball Edge lavori e mostra le autorizzazioni richieste per ciascuna operazione. Per ulteriori informazioni sulle operazioni API di gestione dei processi, consulta [AWS Snowball Edge Autorizzazioni API: riferimento ad azioni, risorse e condizioni](access-policy-examples-for-sdk-cli.md#snowball-api-permissions-ref).
Per utilizzare Console di gestione della famiglia di servizi AWS Snow, è necessario concedere le autorizzazioni per azioni aggiuntive, come illustrato nella seguente politica di autorizzazione:
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetBucketPolicy",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListAllMyBuckets"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"lambda:GetFunction",
"lambda:GetFunctionConfiguration"
],
"Resource": "arn:aws:lambda:*::function:*"
},
{
"Effect": "Allow",
"Action": [
"lambda:ListFunctions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:Encrypt",
"kms:RetireGrant",
"kms:ListKeys",
"kms:DescribeKey",
"kms:ListAliases"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:ListRoles",
"iam:ListRolePolicies",
"iam:PutRolePolicy"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/snowball*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "importexport.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeImages",
"ec2:ModifyImageAttribute"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"sns:CreateTopic",
"sns:ListTopics",
"sns:GetTopicAttributes",
"sns:SetTopicAttributes",
"sns:ListSubscriptionsByTopic",
"sns:Subscribe"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"greengrass:getServiceRoleForAccount"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"snowball:*"
],
"Resource": [
"*"
]
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetBucketPolicy",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListAllMyBuckets"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"lambda:GetFunction",
"lambda:GetFunctionConfiguration"
],
"Resource": "arn:aws:lambda:::function:*"
},
{
"Effect": "Allow",
"Action": [
"lambda:ListFunctions"
],
"Resource": "arn:aws:lambda:::*"
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:ListRoles",
"iam:ListRolePolicies",
"iam:PutRolePolicy"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/snowball*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "importexport.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeImages",
"ec2:ModifyImageAttribute"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"sns:CreateTopic",
"sns:ListTopics",
"sns:GetTopicAttributes",
"sns:SetTopicAttributes",
"sns:ListSubscriptionsByTopic",
"sns:Subscribe"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"greengrass:getServiceRoleForAccount"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"snowball:*"
],
"Resource": [
"*"
]
}
]
}
```
------
La AWS Snowball Edge console necessita di queste autorizzazioni aggiuntive per i seguenti motivi:
+ `ec2:`— Consentono all'utente di descrivere le istanze EC2 compatibili con Amazon e di modificarne gli attributi per scopi di elaborazione locale. Per ulteriori informazioni, consulta [Utilizzo di istanze EC2 di calcolo compatibili con Amazon su Snowball Edge](using-ec2.md).
+ `kms:`— Consentono all'utente di creare o scegliere la chiave KMS che crittograferà i dati. Per ulteriori informazioni, consulta [AWS Key Management Service nel AWS Snowball Edge](data-protection.md#kms).
+ `iam:`— Consentono all'utente di creare o scegliere un ruolo IAM ARN che AWS Snowball Edge assumerà per accedere alle AWS risorse associate alla creazione e all'elaborazione dei lavori.
+ `sns:`— Consentono all'utente di creare o scegliere le notifiche Amazon SNS per i lavori che crea. Per ulteriori informazioni, consulta [Notifiche per Snowball Edge](notifications.md).