Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Identity and Access Management in AWS Snowball Edge
Ogni AWS Snowball Edge lavoro deve essere autenticato. Puoi farlo creando e gestendo gli utenti IAM nel tuo account. Utilizzando IAM, puoi creare e gestire utenti e autorizzazioni in AWS.
AWS Snowball Edge gli utenti devono disporre di determinate autorizzazioni relative all'IAM per accedere a per creare lavori. AWS Snowball Edge Console di gestione AWS Un utente IAM che crea un processo di importazione o esportazione deve inoltre avere accesso alle risorse Amazon Simple Storage Service (Amazon S3) corrette, come i bucket Amazon S3 da utilizzare per il lavoro, le risorse AWS KMS , l'argomento Amazon SNS e EC2 l'AMI compatibile con Amazon per i lavori di edge computing.
**Importante**
Per informazioni sull'utilizzo di IAM localmente sul tuo dispositivo, consulta. [Utilizzo di IAM localmente su Snowball Edge](using-local-iam.md)
**Topics**
+ [Controllo degli accessi per la console Snowball Edge e creazione di lavori](authentication-and-access-control.md)
# Controllo degli accessi per la console Snowball Edge e creazione di lavori
Come per tutti i AWS servizi, l'accesso a AWS Snowball Edge richiede credenziali che AWS possono essere utilizzate per autenticare le richieste. Tali credenziali devono disporre delle autorizzazioni per accedere alle AWS risorse, come un bucket Amazon S3 o una funzione. AWS Lambda AWS Snowball Edge differisce in due modi:
1. I job in AWS Snowball Edge non dispongono di Amazon Resource Names (ARNs).
1. Il controllo dell'accesso fisico e di rete per un dispositivo locale è una tua responsabilità.
Scopri [Identity and Access Management per AWS Snowball Edge](security-iam.md) i dettagli su come utilizzare [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/) AWS Snowball Edge e su come proteggere le tue risorse controllando chi può accedervi nei consigli Cloud AWS sul controllo degli accessi locali.
# Identity and Access Management per AWS Snowball Edge
AWS Identity and Access Management (IAM) è un software Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse. AWS Snow Family IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell'accesso con policy](#security_iam_access-manage)
+ [Come AWS Snow Family funziona con IAM](security_iam_service-with-iam.md)
+ [Esempi di policy basate sull'identità per AWS Snowball Edge](security_iam_id-based-policy-examples.md)
+ [Risoluzione dei problemi AWS Snowball Edge di identità e accesso](security_iam_troubleshoot.md)
## Destinatari
Il modo in cui usi AWS Identity and Access Management (IAM) varia a seconda del lavoro che AWS Snow Family svolgi.
**Utente del servizio**: se utilizzi il AWS Snow Family servizio per svolgere il tuo lavoro, l'amministratore ti fornisce le credenziali e le autorizzazioni necessarie. Man mano che utilizzi più AWS Snow Family funzionalità per svolgere il tuo lavoro, potresti aver bisogno di autorizzazioni aggiuntive. La comprensione della gestione dell'accesso ti consente di richiedere le autorizzazioni corrette all'amministratore. Se non riesci ad accedere a una funzionalità di AWS Snow Family, consulta [Risoluzione dei problemi AWS Snowball Edge di identità e accesso](security_iam_troubleshoot.md).
**Amministratore del servizio**: se sei responsabile delle AWS Snow Family risorse della tua azienda, probabilmente hai pieno accesso a AWS Snow Family. È tuo compito determinare a quali AWS Snow Family funzionalità e risorse devono accedere gli utenti del servizio. Devi inviare le richieste all'amministratore IAM per cambiare le autorizzazioni degli utenti del servizio. Esamina le informazioni contenute in questa pagina per comprendere i concetti di base relativi a IAM. Per saperne di più su come la tua azienda può utilizzare IAM con AWS Snow Family, consulta[Come AWS Snow Family funziona con IAM](security_iam_service-with-iam.md).
**Amministratore IAM**: un amministratore IAM potrebbe essere interessato a ottenere dei dettagli su come scrivere policy per gestire l'accesso a AWS Snow Family. Per visualizzare esempi di policy AWS Snow Family basate sull'identità che puoi utilizzare in IAM, consulta. [Esempi di policy basate sull'identità per AWS Snowball Edge](security_iam_id-based-policy-examples.md)
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi essere *autenticato* (aver effettuato l' Utente root dell'account AWS accesso AWS) come utente IAM o assumendo un ruolo IAM.
Puoi accedere AWS come identità federata utilizzando le credenziali fornite tramite una fonte di identità. AWS IAM Identity Center Gli utenti (IAM Identity Center), l'autenticazione Single Sign-On della tua azienda e le tue credenziali di Google o Facebook sono esempi di identità federate. Se accedi come identità federata, l'amministratore ha configurato in precedenza la federazione delle identità utilizzando i ruoli IAM. Quando accedi AWS utilizzando la federazione, assumi indirettamente un ruolo.
A seconda del tipo di utente, puoi accedere al Console di gestione AWS o al portale di AWS accesso. Per ulteriori informazioni sull'accesso a AWS, vedi [Come accedere al tuo Account AWS nella](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) *Guida per l'Accedi ad AWS utente*.
Se accedi a AWS livello di codice, AWS fornisce un kit di sviluppo software (SDK) e un'interfaccia a riga di comando (CLI) per firmare crittograficamente le tue richieste utilizzando le tue credenziali. Se non utilizzi AWS strumenti, devi firmare tu stesso le richieste. Per ulteriori informazioni sul metodo consigliato per la firma delle richieste, consulta [Signature Version 4 AWS per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l'utente IAM*.
A prescindere dal metodo di autenticazione utilizzato, potrebbe essere necessario specificare ulteriori informazioni sulla sicurezza. Ad esempio, ti AWS consiglia di utilizzare l'autenticazione a più fattori (MFA) per aumentare la sicurezza del tuo account. Per ulteriori informazioni, consulta [Autenticazione a più fattori](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-mfa.html) nella *Guida per l'utente di AWS IAM Identity Center * e [Utilizzo dell'autenticazione a più fattori (MFA)AWS in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) nella *Guida per l'utente IAM*.
### Account AWS utente root
Quando si crea un account Account AWS, si inizia con un'identità di accesso che ha accesso completo a tutte Servizi AWS le risorse dell'account. Questa identità è denominata *utente Account AWS root* ed è accessibile effettuando l'accesso con l'indirizzo e-mail e la password utilizzati per creare l'account. Si consiglia vivamente di non utilizzare l'utente root per le attività quotidiane. Conserva le credenziali dell'utente root e utilizzale per eseguire le operazioni che solo l'utente root può eseguire. Per un elenco completo delle attività che richiedono l'accesso come utente root, consulta la sezione [Attività che richiedono le credenziali dell'utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l'utente IAM*.
### Identità federata
Come procedura consigliata, richiedi agli utenti umani, compresi gli utenti che richiedono l'accesso come amministratore, di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'*identità federata* è un utente dell'elenco utenti aziendale, un provider di identità Web Directory Service, la directory Identity Center o qualsiasi utente che accede Servizi AWS utilizzando credenziali fornite tramite un'origine di identità. Quando le identità federate accedono Account AWS, assumono ruoli e i ruoli forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, consigliamo di utilizzare AWS IAM Identity Center. Puoi creare utenti e gruppi in IAM Identity Center oppure puoi connetterti e sincronizzarti con un set di utenti e gruppi nella tua fonte di identità per utilizzarli su tutte le tue applicazioni. Account AWS Per ulteriori informazioni su IAM Identity Center, consulta [Cos'è IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l'utente di AWS IAM Identity Center *.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è un'identità interna Account AWS che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ove possibile, consigliamo di fare affidamento a credenziali temporanee invece di creare utenti IAM con credenziali a lungo termine come le password e le chiavi di accesso. Tuttavia, se si hanno casi d'uso specifici che richiedono credenziali a lungo termine con utenti IAM, si consiglia di ruotare le chiavi di accesso. Per ulteriori informazioni, consulta la pagina [Rotazione periodica delle chiavi di accesso per casi d'uso che richiedono credenziali a lungo termine](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials) nella *Guida per l'utente IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) è un'identità che specifica un insieme di utenti IAM. Non è possibile eseguire l'accesso come gruppo. È possibile utilizzare gruppi per specificare le autorizzazioni per più utenti alla volta. I gruppi semplificano la gestione delle autorizzazioni per set di utenti di grandi dimensioni. Ad esempio, potresti avere un gruppo denominato *IAMAdmins*e concedere a quel gruppo le autorizzazioni per amministrare le risorse IAM.
Gli utenti sono diversi dai ruoli. Un utente è associato in modo univoco a una persona o un'applicazione, mentre un ruolo è destinato a essere assunto da chiunque ne abbia bisogno. Gli utenti dispongono di credenziali a lungo termine permanenti, mentre i ruoli forniscono credenziali temporanee. Per ulteriori informazioni, consulta [Casi d'uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l'utente IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un'identità interna all'utente Account AWS che dispone di autorizzazioni specifiche. È simile a un utente IAM, ma non è associato a una persona specifica. Per assumere temporaneamente un ruolo IAM in Console di gestione AWS, puoi [passare da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html). Puoi assumere un ruolo chiamando un'operazione AWS CLI o AWS API o utilizzando un URL personalizzato. Per ulteriori informazioni sui metodi per l'utilizzo dei ruoli, consulta [Utilizzo di ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l'utente IAM*.
I ruoli IAM con credenziali temporanee sono utili nelle seguenti situazioni:
+ **Accesso utente federato**: per assegnare le autorizzazioni a una identità federata, è possibile creare un ruolo e definire le autorizzazioni per il ruolo. Quando un'identità federata viene autenticata, l'identità viene associata al ruolo e ottiene le autorizzazioni da esso definite. Per ulteriori informazioni sulla federazione dei ruoli, consulta [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) nella *Guida per l'utente IAM*. Se utilizzi IAM Identity Center, configura un set di autorizzazioni. IAM Identity Center mette in correlazione il set di autorizzazioni con un ruolo in IAM per controllare a cosa possono accedere le identità dopo l'autenticazione. Per informazioni sui set di autorizzazioni, consulta [Set di autorizzazioni](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) nella *Guida per l'utente di AWS IAM Identity Center *.
+ **Autorizzazioni utente IAM temporanee**: un utente IAM o un ruolo può assumere un ruolo IAM per ottenere temporaneamente autorizzazioni diverse per un'attività specifica.
+ **Accesso multi-account**: è possibile utilizzare un ruolo IAM per permettere a un utente (un principale affidabile) con un account diverso di accedere alle risorse nell'account. I ruoli sono lo strumento principale per concedere l'accesso multi-account. Tuttavia, con alcuni Servizi AWS, è possibile allegare una policy direttamente a una risorsa (anziché utilizzare un ruolo come proxy). Per informazioni sulle differenze tra ruoli e policy basate su risorse per l'accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l'utente IAM*.
+ **Accesso a più servizi**: alcuni Servizi AWS utilizzano le funzionalità di altri Servizi AWS. Ad esempio, quando effettui una chiamata in un servizio, è normale che quel servizio esegua applicazioni in Amazon EC2 o archivi oggetti in Amazon S3. Un servizio può eseguire questa operazione utilizzando le autorizzazioni dell'entità chiamante, utilizzando un ruolo di servizio o utilizzando un ruolo collegato al servizio.
+ **Sessioni di accesso inoltrato (FAS)**: quando utilizzi un utente o un ruolo IAM per eseguire azioni AWS, sei considerato un principale. Quando si utilizzano alcuni servizi, è possibile eseguire un'operazione che attiva un'altra operazione in un servizio diverso. FAS utilizza le autorizzazioni del principale che chiama an Servizio AWS, combinate con la richiesta Servizio AWS per effettuare richieste ai servizi downstream. Le richieste FAS vengono effettuate solo quando un servizio riceve una richiesta che richiede interazioni con altri Servizi AWS o risorse per essere completata. In questo caso è necessario disporre delle autorizzazioni per eseguire entrambe le azioni. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
+ **Ruolo di servizio**: un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall'interno di IAM. Per ulteriori informazioni, consulta la sezione [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l'utente IAM*.
+ **Ruolo collegato al servizio: un ruolo** collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un'azione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non modificarle.
+ **Applicazioni in esecuzione su Amazon EC2**: puoi utilizzare un ruolo IAM per gestire le credenziali temporanee per le applicazioni in esecuzione su un' EC2 istanza e che AWS CLI effettuano richieste AWS API. È preferibile archiviare le chiavi di accesso all'interno dell' EC2 istanza. Per assegnare un AWS ruolo a un' EC2 istanza e renderlo disponibile per tutte le sue applicazioni, create un profilo di istanza collegato all'istanza. Un profilo di istanza contiene il ruolo e consente ai programmi in esecuzione sull' EC2 istanza di ottenere credenziali temporanee. Per ulteriori informazioni, consulta [Utilizzare un ruolo IAM per concedere le autorizzazioni alle applicazioni in esecuzione su EC2 istanze Amazon](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) nella *IAM User Guide*.
## Gestione dell'accesso con policy
Puoi controllare l'accesso AWS creando policy e collegandole a AWS identità o risorse. Una policy è un oggetto AWS che, se associato a un'identità o a una risorsa, ne definisce le autorizzazioni. AWS valuta queste politiche quando un principale (utente, utente root o sessione di ruolo) effettua una richiesta. Le autorizzazioni nelle policy determinano l'approvazione o il rifiuto della richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per ulteriori informazioni sulla struttura e sui contenuti dei documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l'utente IAM*.
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Per concedere agli utenti l'autorizzazione a eseguire operazioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM. L'amministratore può quindi aggiungere le policy IAM ai ruoli e gli utenti possono assumere i ruoli.
Le policy IAM definiscono le autorizzazioni relative a un'operazione, a prescindere dal metodo utilizzato per eseguirla. Ad esempio, supponiamo di disporre di una policy che consente l'operazione `iam:GetRole`. Un utente con tale policy può ottenere informazioni sul ruolo dall' Console di gestione AWS AWS CLI, dall'o dall' AWS API.
### Policy basate sull'identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l'utente IAM*.
Le policy basate su identità possono essere ulteriormente classificate come *policy inline* o *policy gestite*. Le policy inline sono integrate direttamente in un singolo utente, gruppo o ruolo. Le politiche gestite sono politiche autonome che puoi allegare a più utenti, gruppi e ruoli nel tuo Account AWS. Le politiche gestite includono politiche AWS gestite e politiche gestite dai clienti. Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scelta fra policy gestite e policy inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l'utente IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy dei bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l'accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. È necessario [specificare un principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) in una policy basata sulle risorse. I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non puoi utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Liste di controllo degli accessi () ACLs
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
Amazon S3 e Amazon VPC sono esempi di servizi che supportano. AWS WAF ACLs Per ulteriori informazioni ACLs, consulta la [panoramica della lista di controllo degli accessi (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Amazon Simple Storage Service Developer Guide*.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi e meno comuni. Questi tipi di policy possono impostare il numero massimo di autorizzazioni concesse dai tipi di policy più comuni.
+ **Limiti delle autorizzazioni**: un limite delle autorizzazioni è una funzionalità avanzata nella quale si imposta il numero massimo di autorizzazioni che una policy basata su identità può concedere a un'entità IAM (utente o ruolo IAM). È possibile impostare un limite delle autorizzazioni per un'entità. Le autorizzazioni risultanti sono l'intersezione delle policy basate su identità dell'entità e i relativi limiti delle autorizzazioni. Le policy basate su risorse che specificano l'utente o il ruolo nel campo `Principal`sono condizionate dal limite delle autorizzazioni. Un rifiuto esplicito in una qualsiasi di queste policy sostituisce l'autorizzazione. Per ulteriori informazioni sui limiti delle autorizzazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l'utente IAM*.
+ **Politiche di controllo del servizio (SCPs)**: SCPs sono politiche JSON che specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa (OU) in. AWS Organizations AWS Organizations è un servizio per il raggruppamento e la gestione centralizzata di più di proprietà dell' Account AWS azienda. Se abiliti tutte le funzionalità di un'organizzazione, puoi applicare le politiche di controllo del servizio (SCPs) a uno o tutti i tuoi account. L'SCP limita le autorizzazioni per le entità presenti negli account dei membri, inclusa ciascuna di esse. Utente root dell'account AWS Per ulteriori informazioni su Organizations and SCPs, consulta [le politiche di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida AWS Organizations per l'utente*.
+ **Politiche di controllo delle risorse (RCPs)**: RCPs sono politiche JSON che puoi utilizzare per impostare le autorizzazioni massime disponibili per le risorse nei tuoi account senza aggiornare le politiche IAM allegate a ciascuna risorsa di tua proprietà. L'RCP limita le autorizzazioni per le risorse negli account dei membri e può influire sulle autorizzazioni effettive per le identità, incluse le Utente root dell'account AWS, indipendentemente dal fatto che appartengano o meno all'organizzazione. Per ulteriori informazioni su Organizations e RCPs, incluso un elenco di Servizi AWS tale supporto RCPs, vedere [Resource control policies (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: le policy di sessione sono policy avanzate che vengono trasmesse come parametro quando si crea in modo programmatico una sessione temporanea per un ruolo o un utente federato. Le autorizzazioni della sessione risultante sono l'intersezione delle policy basate su identità del ruolo o dell'utente e le policy di sessione. Le autorizzazioni possono anche provenire da una policy basata su risorse. Un rifiuto esplicito in una qualsiasi di queste policy sostituisce l'autorizzazione. Per ulteriori informazioni, consulta [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l'utente IAM*.
### Più tipi di policy
Quando più tipi di policy si applicano a una richiesta, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire una richiesta quando sono coinvolti più tipi di policy, consulta la [logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come AWS Snow Family funziona con IAM
Prima di utilizzare IAM per gestire l'accesso a AWS Snow Family, scopri con quali funzionalità IAM è disponibile l'uso AWS Snow Family.
**Funzionalità IAM che puoi utilizzare con AWS Snow Family**
| Funzionalità IAM | AWS Snow Family supporto |
| --- | --- |
| [Policy basate su identità](#security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies) | Sì |
| [Azioni di policy](#security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources) | Sì |
| [Chiavi di condizione della policy (specifica del servizio)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sì |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags) | Parziale |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Inoltro delle sessioni di accesso (FAS)](#security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-roles-service) | Sì |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | No |
Per avere una panoramica di alto livello su come AWS Snow Family e altri AWS servizi funzionano con la maggior parte delle funzionalità IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
## Politiche basate sull'identità per AWS Snow Family
**Supporta le policy basate su identità:** sì
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l'utente IAM*.
Con le policy basate su identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Non è possibile specificare l'entità principale in una policy basata sull'identità perché si applica all'utente o al ruolo a cui è associato. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l'utente di IAM*.
### Esempi di politiche basate sull'identità per AWS Snow Family
Per visualizzare esempi di politiche basate sull' AWS Snow Family identità, vedere. [Esempi di policy basate sull'identità per AWS Snowball Edge](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse all'interno AWS Snow Family
**Supporta le policy basate sulle risorse**: sì
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy dei bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l'accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. È necessario [specificare un principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) in una policy basata sulle risorse. I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l'accesso multi-account, puoi specificare un intero account o entità IAM in un altro account come principale in una policy basata sulle risorse. L'aggiunta di un principale multi-account a una policy basata sulle risorse rappresenta solo una parte della relazione di trust. Quando il principale e la risorsa sono diversi Account AWS, un amministratore IAM dell'account affidabile deve inoltre concedere all'entità principale (utente o ruolo) l'autorizzazione ad accedere alla risorsa. L'autorizzazione viene concessa collegando all'entità una policy basata sull'identità. Tuttavia, se una policy basata su risorse concede l'accesso a un principale nello stesso account, non sono richieste ulteriori policy basate su identità. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l'utente IAM*.
## Azioni politiche per AWS Snow Family
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **principale** può eseguire **operazioni** su quali **risorse**, e in quali **condizioni**.
L'elemento `Action`di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso a un criterio. Le azioni politiche in genere hanno lo stesso nome dell'operazione AWS API associata. Ci sono alcune eccezioni, ad esempio le *operazioni di sola autorizzazione* che non hanno un'operazione API corrispondente. Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono denominate *operazioni dipendenti*.
Includi le operazioni in una policy per concedere le autorizzazioni a eseguire l'operazione associata.
Per visualizzare un elenco di AWS Snow Family azioni, vedere [Azioni definite da AWS Snow Family](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssnowball.html#awssnowball-actions-as-permissions) nel *Service Authorization Reference*.
Le azioni politiche in AWS Snow Family uso utilizzano il seguente prefisso prima dell'azione:
```
snowball
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"snowball:action1",
"snowball:action2"
]
```
Per visualizzare esempi di politiche AWS Snow Family basate sull'identità, vedere. [Esempi di policy basate sull'identità per AWS Snowball Edge](security_iam_id-based-policy-examples.md)
## Risorse politiche per AWS Snow Family
**Supporta le risorse di policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **principale** può eseguire **operazioni** su quali **risorse**, e in quali **condizioni**.
L'elemento JSON `Resource`della policy specifica l'oggetto o gli oggetti ai quali si applica l'operazione. Le istruzioni devono includere un elemento `Resource`o un elemento `NotResource`. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). È possibile eseguire questa operazione per operazioni che supportano un tipo di risorsa specifico, note come *autorizzazioni a livello di risorsa*.
Per le azioni che non supportano le autorizzazioni a livello di risorsa, ad esempio le operazioni di elenco, utilizza un carattere jolly (\$1) per indicare che l'istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Per visualizzare un elenco dei tipi di AWS Snow Family risorse e relativi ARNs, vedere [Resources defined by AWS Snow Family](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssnowball.html#awssnowball-resources-for-iam-policies) nel *Service Authorization* Reference. Per informazioni sulle operazioni con cui è possibile specificare l'ARN di ogni risorsa, consulta la sezione [Operazioni definite da AWS Snow Family](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssnowball.html#awssnowball-actions-as-permissions).
Per visualizzare esempi di politiche AWS Snow Family basate sull'identità, vedere. [Esempi di policy basate sull'identità per AWS Snowball Edge](security_iam_id-based-policy-examples.md)
## Chiavi relative alle condizioni delle politiche per AWS Snow Family
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **principale** può eseguire **operazioni** su quali **risorse**, e in quali **condizioni**.
L'elemento `Condition`(o *blocco* `Condition`) consente di specificare le condizioni in cui un'istruzione è in vigore. L'elemento `Condition`è facoltativo. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta.
Se specifichi più elementi `Condition`in un'istruzione o più chiavi in un singolo elemento `Condition`, questi vengono valutati da AWS utilizzando un'operazione `AND`logica. Se si specificano più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'operazione logica. `OR` Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell'istruzione vengano concesse.
È possibile anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, è possibile autorizzare un utente IAM ad accedere a una risorsa solo se è stata taggata con il relativo nome utente IAM. Per ulteriori informazioni, consulta [Elementi delle policy IAM: variabili e tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) nella *Guida per l'utente di IAM*.
AWS supporta chiavi di condizione globali e chiavi di condizione specifiche del servizio. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Per visualizzare un elenco di chiavi di AWS Snow Family condizione, consulta [Condition keys for AWS Snow Family](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssnowball.html#awssnowball-policy-keys) nel *Service Authorization Reference*. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, vedi [Azioni definite da AWS Snow Family](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssnowball.html#awssnowball-actions-as-permissions).
Per visualizzare esempi di politiche AWS Snow Family basate sull'identità, vedere. [Esempi di policy basate sull'identità per AWS Snowball Edge](security_iam_id-based-policy-examples.md)
## ACLs in AWS Snow Family
**Supporti ACLs:** no
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## ABAC con AWS Snow Family
**Supporta ABAC (tag nelle policy):** parzialmente
Il controllo dell'accesso basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi. In AWS, questi attributi sono chiamati *tag*. Puoi allegare tag a entità IAM (utenti o ruoli) e a molte AWS risorse. L'assegnazione di tag alle entità e alle risorse è il primo passaggio di ABAC. In seguito, vengono progettate policy ABAC per consentire operazioni quando il tag dell'entità principale corrisponde al tag sulla risorsa a cui si sta provando ad accedere.
La strategia ABAC è utile in ambienti soggetti a una rapida crescita e aiuta in situazioni in cui la gestione delle policy diventa impegnativa.
Per controllare l'accesso basato su tag, fornisci informazioni sui tag nell'[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Yes (Sì)**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per ulteriori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l'utente IAM*. Per visualizzare un tutorial con i passaggi per l'impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l'utente di IAM*.
## Utilizzo di credenziali temporanee con AWS Snow Family
**Supporta le credenziali temporanee:** sì
Alcuni Servizi AWS non funzionano quando si accede utilizzando credenziali temporanee. Per ulteriori informazioni, incluse quelle che Servizi AWS funzionano con credenziali temporanee, consulta la sezione relativa alla [Servizi AWS compatibilità con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
Stai utilizzando credenziali temporanee se accedi Console di gestione AWS utilizzando qualsiasi metodo tranne nome utente e password. Ad esempio, quando accedete AWS utilizzando il link Single Sign-On (SSO) della vostra azienda, tale processo crea automaticamente credenziali temporanee. Le credenziali temporanee vengono create in automatico anche quando accedi alla console come utente e poi cambi ruolo. Per ulteriori informazioni sullo scambio dei ruoli, consulta [Passaggio da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) nella *Guida per l'utente IAM*.
È possibile creare manualmente credenziali temporanee utilizzando l'API or. AWS CLI AWS È quindi possibile utilizzare tali credenziali temporanee per accedere. AWS AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza provvisorie in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html).
## Sessioni di accesso diretto per AWS Snow Family
**Supporta l'inoltro delle sessioni di accesso (FAS):** sì
Quando utilizzi un utente o un ruolo IAM per eseguire azioni AWS, sei considerato un principale. Quando si utilizzano alcuni servizi, è possibile eseguire un'operazione che attiva un'altra operazione in un servizio diverso. FAS utilizza le autorizzazioni del principale che chiama an Servizio AWS, in combinazione con la richiesta Servizio AWS per effettuare richieste ai servizi downstream. Le richieste FAS vengono effettuate solo quando un servizio riceve una richiesta che richiede interazioni con altri Servizi AWS o risorse per essere completata. In questo caso è necessario disporre delle autorizzazioni per eseguire entrambe le azioni. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli di servizio per AWS Snow Family
**Supporta i ruoli di servizio:** sì
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall'interno di IAM. Per ulteriori informazioni, consulta la sezione [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l'utente IAM*.
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio potrebbe compromettere la funzionalità. AWS Snow Family Modifica i ruoli di servizio solo quando viene AWS Snow Family fornita una guida in tal senso.
## Ruoli collegati ai servizi per AWS Snow Family
**Supporta i ruoli collegati ai servizi:** no
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un'azione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non modificarle.
Per ulteriori informazioni su come creare e gestire i ruoli collegati ai servizi, consulta [Servizi AWS supportati da IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova un servizio nella tabella che include un `Yes` nella colonna **Service-linked role (Ruolo collegato ai servizi)**. Scegli il collegamento **Sì** per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
# Esempi di policy basate sull'identità per AWS Snowball Edge
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse AWS Snow Family . Inoltre, non possono eseguire attività utilizzando Console di gestione AWS, AWS Command Line Interface (AWS CLI) o l'API. AWS Per concedere agli utenti l'autorizzazione a eseguire operazioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM. L'amministratore può quindi aggiungere le policy IAM ai ruoli e gli utenti possono assumere i ruoli.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l'utente IAM*.
Per informazioni dettagliate sulle azioni e sui tipi di risorse definiti da AWS Snow Family, incluso il formato di ARNs per ogni tipo di risorsa, consulta [Azioni, risorse e chiavi di condizione AWS Snow Family](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssnowball.html) nel *Service Authorization Reference*.
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console di AWS Snow Family](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare AWS Snow Family risorse nel tuo account. Queste azioni possono comportare costi aggiuntivi per l' Account AWS. Quando crei o modifichi policy basate su identità, segui queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per ulteriori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l'utente IAM*.
+ **Applica le autorizzazioni con privilegio minimo**: quando imposti le autorizzazioni con le policy IAM, concedi solo le autorizzazioni richieste per eseguire un'attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegi minimi*. Per ulteriori informazioni sull'utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l'utente IAM*.
+ **Condizioni d'uso nelle policy IAM per limitare ulteriormente l'accesso**: per limitare l'accesso a operazioni e risorse è possibile aggiungere una condizione alle tue policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per ulteriori informazioni, consulta la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l'utente IAM*.
+ **Utilizzo di IAM Access Analyzer per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali**: IAM Access Analyzer convalida le policy nuove ed esistenti in modo che aderiscano alla sintassi della policy IAM (JSON) e alle best practice di IAM. IAM Access Analyzer offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per ulteriori informazioni, consulta [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l'utente IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungi le condizioni MFA alle policy. Per ulteriori informazioni, consulta [Protezione dell'accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l'utente IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente di IAM*.
## Utilizzo della console di AWS Snow Family
Per accedere alla AWS Snow Family console, devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle AWS Snow Family risorse del tuo. Account AWS Se crei una policy basata sull'identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, concedi l'accesso solo alle operazioni che corrispondono all'operazione API che stanno cercando di eseguire.
Per garantire che utenti e ruoli possano ancora utilizzare la AWS Snow Family console, allega anche la policy AWS Snow Family `ConsoleAccess` o la policy `ReadOnly` AWS gestita alle entità. Per ulteriori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l'utente IAM*.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono cpllegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Risoluzione dei problemi AWS Snowball Edge di identità e accesso
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con un AWS Snow Family IAM.
**Topics**
+ [Non sono autorizzato a eseguire alcuna azione in AWS Snow Family](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Voglio consentire a persone esterne a me di accedere Account AWS alle mie AWS Snow Family risorse](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire alcuna azione in AWS Snow Family
Se ricevi un errore che indica che non sei autorizzato a eseguire un'operazione, le tue policy devono essere aggiornate per poter eseguire l'operazione.
L'errore di esempio seguente si verifica quando l'utente IAM `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `snowball:GetWidget` fittizie.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: snowball:GetWidget on resource: my-example-widget
```
In questo caso, la policy per l'utente `mateojackson` deve essere aggiornata per consentire l'accesso alla risorsa `my-example-widget` utilizzando l'azione `snowball:GetWidget`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L'amministratore è la persona che ti ha fornito le credenziali di accesso.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un errore che indica che non sei autorizzato a eseguire l'operazione `iam:PassRole`, le tue policy devono essere aggiornate per poter passare un ruolo a AWS Snow Family.
Alcuni Servizi AWS consentono di passare un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
L'errore di esempio seguente si verifica quando un utente IAM denominato `marymajor` cerca di utilizzare la console per eseguire un'operazione in AWS Snow Family. Tuttavia, l'operazione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per passare il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l'operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L'amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne a me di accedere Account AWS alle mie AWS Snow Family risorse
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all'organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l'assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per concedere alle persone l'accesso alle tue risorse.
Per ulteriori informazioni, consulta gli argomenti seguenti:
+ Per sapere se AWS Snow Family supporta queste funzionalità, consulta. [Come AWS Snow Family funziona con IAM](security_iam_service-with-iam.md)
+ Per scoprire come fornire l'accesso alle tue risorse attraverso Account AWS le risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (Federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l'accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l'utente IAM*.
# Controllo degli accessi in Cloud AWS
Puoi avere credenziali valide per autenticare le tue richieste. AWS Tuttavia, a meno che non si disponga delle autorizzazioni necessarie, non è possibile creare o accedere alle risorse. AWS Ad esempio, è necessario disporre delle autorizzazioni per creare un lavoro per ordinare un dispositivo Snowball Edge.
Nelle sezioni seguenti viene descritto come gestire le autorizzazioni basate su cloud per AWS Snowball Edge. Consigliamo di leggere prima la panoramica.
+ [Panoramica della gestione delle autorizzazioni di accesso alle risorse in Cloud AWS](authentication-and-access-control.md#access-control-overview)
+ [Utilizzo di politiche basate sull'identità (politiche IAM) per AWS Snowball Edge](access-control-managing-permissions.md)
## Panoramica della gestione delle autorizzazioni di accesso alle risorse in Cloud AWS
Ogni AWS risorsa è di proprietà di un Account AWS, e le autorizzazioni per creare o accedere a una risorsa sono regolate da politiche di autorizzazione. Un amministratore di account può associare politiche di autorizzazione alle identità IAM (ovvero utenti, gruppi e ruoli) e alcuni servizi (come AWS Lambda) supportano anche l'associazione di politiche di autorizzazione alle risorse.
**Nota**
Un *amministratore account* (o un utente amministratore) è un utente con privilegi di amministratore. Per ulteriori informazioni, consulta [Best practice IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente di IAM*.
**Topics**
+ [Risorse e operazioni](#access-control-resources)
+ [Informazioni sulla proprietà delle risorse](#access-control-owner)
+ [Gestione dell'accesso alle risorse in Cloud AWS](#access-control-manage-access-intro)
+ [Specifica degli elementi delle policy: operazioni, effetti e principali](#access-control-specify-actions)
+ [Specifica delle condizioni in una policy](#specifying-conditions)
### Risorse e operazioni
*Nel AWS Snowball Edge, la risorsa principale è un lavoro.* AWS Snowball Edge dispone anche di dispositivi come Snowball e il AWS Snowball Edge dispositivo, tuttavia è possibile utilizzare tali dispositivi solo nel contesto di un lavoro esistente. I bucket Amazon S3 e le funzioni Lambda sono risorse rispettivamente di Amazon S3 e Lambda.
Come accennato in precedenza, ai job non è associato Amazon Resource Names (ARNs). Tuttavia, alle risorse di altri servizi, come i bucket Amazon S3, è associata una funzione unique ARNs (), come illustrato nella tabella seguente.
| Tipo di risorsa | Formato ARN |
| --- | --- |
| Bucket S3 | arn:aws:s3:region:account-id:BucketName/ObjectName |
AWS Snowball Edge fornisce una serie di operazioni per creare e gestire i lavori. Per un elenco delle operazioni disponibili, consulta l'[AWS Snowball Edge API Reference](https://docs.aws.amazon.com/snowball/latest/api-reference/api-reference.html).
### Informazioni sulla proprietà delle risorse
È Account AWS proprietario delle risorse create nell'account, indipendentemente da chi le ha create. In particolare, il proprietario Account AWS della risorsa è l'[entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) (ovvero l'account root, un utente IAM o un ruolo IAM) che autentica la richiesta di creazione delle risorse. Negli esempi seguenti viene illustrato il funzionamento:
+ Se utilizzi le credenziali dell'account root del tuo account Account AWS per creare un bucket S3, sei il proprietario della risorsa (in pratica AWS Snowball Edge, la risorsa Account AWS è il lavoro).
+ Se crei un utente IAM nel tuo Account AWS e concedi le autorizzazioni per creare un lavoro per ordinare un dispositivo Snowball Edge a quell'utente, l'utente può creare un lavoro per ordinare un dispositivo Snowball Edge. Tuttavia Account AWS, la risorsa di lavoro è di proprietà dell'utente a cui appartiene.
+ Se crei un ruolo IAM Account AWS con le autorizzazioni necessarie per creare un lavoro, chiunque possa assumere il ruolo può creare un lavoro per ordinare un dispositivo Snowball Edge. Il tuo Account AWS, a cui appartiene il ruolo, è il proprietario della risorsa di lavoro.
### Gestione dell'accesso alle risorse in Cloud AWS
La *policy delle autorizzazioni* descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.
**Nota**
Questa sezione illustra l'utilizzo di IAM nel contesto di AWS Snowball Edge. Non vengono fornite informazioni dettagliate sul servizio IAM. Per la documentazione di IAM completa, consulta [Che cos'è IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) nella *Guida per l'utente di IAM*. Per informazioni sulla sintassi delle policy IAM e le rispettive descrizioni, consulta [Riferimento alle policy IAM di AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *Guida per l'utente di IAM*.
*Le politiche collegate a un'identità IAM sono denominate politiche *basate sull'identità* (politiche IAM) e le politiche allegate a una risorsa sono denominate politiche basate sulle risorse.* AWS Snowball Edge supporta solo politiche basate sull'identità (politiche IAM).
**Topics**
+ [Policy basate su risorse](#access-control-manage-access-intro-resource-policies)
#### Policy basate su risorse
Anche altri servizi, ad esempio Amazon S3, supportano policy di autorizzazioni basate su risorse. Ad esempio, puoi allegare una policy a un bucket S3 per gestire le autorizzazioni di accesso a quel bucket. AWS Snowball Edge non supporta politiche basate sulle risorse.
### Specifica degli elementi delle policy: operazioni, effetti e principali
Per ogni lavoro (vedi[Risorse e operazioni](#access-control-resources)), il servizio definisce una serie di operazioni API (vedi [AWS Snowball Edge API Reference](https://docs.aws.amazon.com/snowball/latest/api-reference/api-reference.html)) per creare e gestire tale lavoro. Per concedere le autorizzazioni per queste operazioni API, AWS Snowball Edge definisce una serie di azioni che puoi specificare in una politica. Ad esempio, per un processo, vengono definite le seguenti operazioni: `CreateJob`, `CancelJob` e `DescribeJob`. Si noti che l'esecuzione di un'operazione API può richiedere le autorizzazioni per più di un'azione.
Di seguito sono elencati gli elementi di base di una policy:
+ **Risorsa**: in una policy si utilizza il nome della risorsa Amazon (ARN) per identificare la risorsa a cui si applica la policy stessa. Per ulteriori informazioni, consulta [Risorse e operazioni](#access-control-resources).
**Nota**
Questa funzionalità è supportata per Amazon S3, Amazon AWS KMS, EC2 AWS Lambda e molti altri servizi.
Snowball non supporta la specificazione di un ARN di risorsa nell'`Resource`elemento di una dichiarazione di policy IAM. Per consentire l'accesso a Snowball, specificalo `“Resource”: “*”` nella tua politica.
+ **Operazione**: utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare. Ad esempio, a seconda del `Effect`, `snowball:*` specificato, autorizzi o rifiuti all'utente le autorizzazioni per eseguire tutte le operazioni.
**Nota**
Questa funzionalità è supportata per Amazon EC2, Amazon S3 e IAM.
+ **Effetto**: l'effetto prodotto quando l'utente richiede l'operazione specifica, ovvero un'autorizzazione o un rifiuto. USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. Puoi anche rifiutare esplicitamente l'accesso a una risorsa per garantire che un utente non possa accedervi, anche se l'accesso viene concesso da un'altra policy.
**Nota**
Questa funzionalità è supportata per Amazon EC2, Amazon S3 e IAM.
+ **Principale**: nelle policy basate su identità (policy IAM), l'utente a cui la policy è collegata è il principale implicito. Per le politiche basate sulle risorse, specifichi l'utente, l'account, il servizio o l'altra entità a cui desideri ricevere le autorizzazioni (si applica solo alle politiche basate sulle risorse). AWS Snowball Edge non supporta politiche basate sulle risorse.
Per ulteriori informazioni sulla sintassi e le descrizioni delle policy IAM, consulta [AWS Riferimento alle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *Guida per l'utente di IAM*.
Per una tabella che mostra tutte le azioni dell' AWS Snowball Edge API, vedi. [AWS Snowball Edge Autorizzazioni API: riferimento ad azioni, risorse e condizioni](access-policy-examples-for-sdk-cli.md#snowball-api-permissions-ref)
### Specifica delle condizioni in una policy
Quando si concedono le autorizzazioni, è possibile utilizzare il linguaggio della policy IAM per specificare le condizioni in base a cui la policy deve essere applicata. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni su come specificare le condizioni in un linguaggio di policy, consulta la sezione [Condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) nella *Guida per l'utente di IAM*.
Per esprimere le condizioni è necessario utilizzare chiavi di condizione predefinite. Non esistono chiavi di condizione specifiche per AWS Snowball Edge. Tuttavia, ci sono chiavi AWS-wide condition che puoi usare a seconda delle esigenze. Per un elenco completo delle chiavi AWS-wide, consulta [Available Keys for Conditions](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *IAM User Guide*.
# Utilizzo di politiche basate sull'identità (politiche IAM) per AWS Snowball Edge
Questo argomento fornisce esempi di politiche basate sull'identità che dimostrano come un amministratore di account può collegare politiche di autorizzazione alle identità IAM (ovvero utenti, gruppi e ruoli). Queste politiche concedono quindi le autorizzazioni per eseguire operazioni sulle risorse di. AWS Snowball Edge Cloud AWS
**Importante**
In primo luogo, è consigliabile esaminare gli argomenti introduttivi in cui vengono spiegati i concetti di base e le opzioni disponibili per gestire l'accesso alle risorse AWS Snowball Edge . Per ulteriori informazioni, consulta [Panoramica della gestione delle autorizzazioni di accesso alle risorse in Cloud AWS](authentication-and-access-control.md#access-control-overview).
In questa sezione vengono trattati gli argomenti seguenti:
+ [Autorizzazioni necessarie per utilizzare la console AWS Snowball Edge](#additional-console-required-permissions)
+ [AWS-Policy gestite (predefinite) per AWS Snowball Edge](authentication-and-access-control.md#access-policy-examples-aws-managed)
+ [Esempi di policy gestite dal cliente](access-policy-examples-for-sdk-cli.md)
Di seguito viene illustrato un esempio di policy di autorizzazione.
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"snowball:*",
"importexport:*"
],
"Resource": "*"
}
]
}
```
------
La policy include due dichiarazioni:
+ La prima istruzione concede le autorizzazioni per tre azioni Amazon S3 `s3:GetBucketLocation` (`s3:GetObject`, `s3:ListBucket` e) su tutti i bucket Amazon S3 utilizzando l'*Amazon Resource* Name (ARN) di. `arn:aws:s3:::*` L'ARN specifica un carattere jolly (\$1) in modo che l'utente possa scegliere uno o tutti i bucket Amazon S3 da cui esportare i dati.
+ La seconda dichiarazione concede le autorizzazioni per tutte le azioni. AWS Snowball Edge Poiché tali operazioni non supportano le autorizzazioni a livello di risorsa, la policy specifica il carattere jolly (\$1) e anche il valore `Resource` specifica un carattere jolly.
La policy non specifica l'elemento `Principal` poiché in una policy basata su identità l'entità che ottiene l'autorizzazione non viene specificata. Quando alleghi una policy a un utente, l'utente è il principale implicito. Quando colleghi una policy di autorizzazioni a un ruolo IAM, il principale identificato nella policy di attendibilità del ruolo ottiene le autorizzazioni.
Per una tabella che mostra tutte le azioni dell'API di gestione dei AWS Snowball Edge lavori e le risorse a cui si applicano, consulta. [AWS Snowball Edge Autorizzazioni API: riferimento ad azioni, risorse e condizioni](access-policy-examples-for-sdk-cli.md#snowball-api-permissions-ref)
## Autorizzazioni necessarie per utilizzare la console AWS Snowball Edge
La tabella di riferimento delle autorizzazioni elenca le operazioni dell'API di gestione dei AWS Snowball Edge lavori e mostra le autorizzazioni richieste per ciascuna operazione. Per ulteriori informazioni sulle operazioni API di gestione dei processi, consulta [AWS Snowball Edge Autorizzazioni API: riferimento ad azioni, risorse e condizioni](access-policy-examples-for-sdk-cli.md#snowball-api-permissions-ref).
Per utilizzare Console di gestione della famiglia di servizi AWS Snow, è necessario concedere le autorizzazioni per azioni aggiuntive, come illustrato nella seguente politica di autorizzazione:
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetBucketPolicy",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListAllMyBuckets"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"lambda:GetFunction",
"lambda:GetFunctionConfiguration"
],
"Resource": "arn:aws:lambda:*::function:*"
},
{
"Effect": "Allow",
"Action": [
"lambda:ListFunctions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:Encrypt",
"kms:RetireGrant",
"kms:ListKeys",
"kms:DescribeKey",
"kms:ListAliases"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:ListRoles",
"iam:ListRolePolicies",
"iam:PutRolePolicy"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/snowball*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "importexport.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeImages",
"ec2:ModifyImageAttribute"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"sns:CreateTopic",
"sns:ListTopics",
"sns:GetTopicAttributes",
"sns:SetTopicAttributes",
"sns:ListSubscriptionsByTopic",
"sns:Subscribe"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"greengrass:getServiceRoleForAccount"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"snowball:*"
],
"Resource": [
"*"
]
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetBucketPolicy",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListAllMyBuckets"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"lambda:GetFunction",
"lambda:GetFunctionConfiguration"
],
"Resource": "arn:aws:lambda:::function:*"
},
{
"Effect": "Allow",
"Action": [
"lambda:ListFunctions"
],
"Resource": "arn:aws:lambda:::*"
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:ListRoles",
"iam:ListRolePolicies",
"iam:PutRolePolicy"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/snowball*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "importexport.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeImages",
"ec2:ModifyImageAttribute"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"sns:CreateTopic",
"sns:ListTopics",
"sns:GetTopicAttributes",
"sns:SetTopicAttributes",
"sns:ListSubscriptionsByTopic",
"sns:Subscribe"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"greengrass:getServiceRoleForAccount"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"snowball:*"
],
"Resource": [
"*"
]
}
]
}
```
------
La AWS Snowball Edge console necessita di queste autorizzazioni aggiuntive per i seguenti motivi:
+ `ec2:`— Consentono all'utente di descrivere le istanze EC2 compatibili con Amazon e di modificarne gli attributi per scopi di elaborazione locale. Per ulteriori informazioni, consulta [Utilizzo di istanze EC2 di calcolo compatibili con Amazon su Snowball Edge](using-ec2.md).
+ `kms:`— Consentono all'utente di creare o scegliere la chiave KMS che crittograferà i dati. Per ulteriori informazioni, consulta [AWS Key Management Service nel AWS Snowball Edge](data-protection.md#kms).
+ `iam:`— Consentono all'utente di creare o scegliere un ruolo IAM ARN che AWS Snowball Edge assumerà per accedere alle AWS risorse associate alla creazione e all'elaborazione dei lavori.
+ `sns:`— Consentono all'utente di creare o scegliere le notifiche Amazon SNS per i lavori che crea. Per ulteriori informazioni, consulta [Notifiche per Snowball Edge](notifications.md).
## AWS-Policy gestite (predefinite) per AWS Snowball Edge
AWS affronta molti casi d'uso comuni fornendo policy IAM autonome create e amministrate da. AWS Le policy gestite concedono le autorizzazioni necessarie per i casi di utilizzo comune in modo da non dover cercare quali sono le autorizzazioni richieste. Per ulteriori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
È possibile utilizzare le seguenti politiche AWS gestite con. AWS Snowball Edge
### Creazione di una policy sui ruoli IAM per Snowball Edge
È necessario creare una policy di ruolo IAM con autorizzazioni di lettura e scrittura per i bucket Amazon S3. Il ruolo IAM deve inoltre avere un rapporto di fiducia con Snowball Edge. Avere una relazione di fiducia significa AWS poter scrivere i dati nello Snowball e nei bucket Amazon S3, a seconda che si stiano importando o esportando dati.
Quando si crea un lavoro per ordinare un dispositivo Snowball Edge in Console di gestione della famiglia di servizi AWS Snow, la creazione del ruolo IAM necessario avviene nel passaggio 4 della sezione **Autorizzazione**. Questo processo è automatico. Il ruolo IAM che consenti a Snowball Edge di assumere viene utilizzato solo per scrivere i dati nel bucket quando arriva lo Snowball con i dati trasferiti. AWS La procedura seguente illustra tale processo.
**Per creare il ruolo IAM per il tuo i**
1. Accedi a Console di gestione AWS e apri la AWS Snowball Edge console all'indirizzo [https://console.aws.amazon.com/importexport/](https://console.aws.amazon.com/importexport/).
1. Scegli **Crea processo**.
1. **Nel primo passaggio, inserisci i dettagli per il processo di importazione in Amazon S3, quindi scegli Avanti.**
1. Nella seconda fase, in **Permission (Autorizzazione)**, scegliere **Create/Select IAM Role (Crea/Seleziona ruolo IAM)**.
Si apre la console di gestione IAM, che mostra il ruolo IAM AWS utilizzato per copiare gli oggetti nei bucket Amazon S3 specificati.
1. Esaminare i dettagli in questa pagina, quindi scegliere **Allow (Consenti)**.
Ritorni al Console di gestione della famiglia di servizi AWS Snow, dove l'**ARN del ruolo IAM selezionato** contiene l'Amazon Resource Name (ARN) per il ruolo IAM che hai appena creato.
1. Scegli **Avanti** per completare la creazione del tuo ruolo IAM.
La procedura precedente crea un ruolo IAM con autorizzazioni di scrittura per i bucket Amazon S3 in cui intendi importare i dati. Il ruolo IAM che viene creato ha una delle seguenti strutture, a seconda del fatto che sia per un processo di importazione o di esportazione.
** del ruolo IAM per un processo di importazione**
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucketMultipartUploads"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketPolicy",
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts",
"s3:PutObjectAcl",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::*"
}
]
}
```
------
Se utilizzi la crittografia lato server con chiavi AWS KMS gestite (SSE-KMS) per crittografare i bucket Amazon S3 associati al tuo processo di importazione, devi anche aggiungere la seguente dichiarazione al tuo ruolo IAM.
```
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}
```
Se le dimensioni degli oggetti sono maggiori, il client Amazon S3 utilizzato per il processo di importazione utilizza il caricamento in più parti. Se avvii un caricamento in più parti utilizzando SSE-KMS, tutte le parti caricate vengono crittografate utilizzando la chiave specificata. AWS KMS Poiché le parti sono crittografate, devono essere decrittografate prima di poter essere assemblate per completare il caricamento multipart. Pertanto, è necessario disporre dell'autorizzazione per decrittografare la AWS KMS chiave (`kms:Decrypt`) quando si esegue un caricamento multiparte su Amazon S3 con SSE-KMS.
Di seguito è riportato un esempio di ruolo IAM necessario per un processo di importazione che richiede l'autorizzazione `kms:Decrypt`.
```
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey","kms:Decrypt"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}
```
Di seguito è riportato un esempio di ruolo IAM necessario per un processo di esportazione.
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetBucketPolicy",
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::*"
}
]
}
```
------
Se utilizzi la crittografia lato server con chiavi AWS KMS gestite per crittografare i bucket Amazon S3 associati al tuo processo di esportazione, devi anche aggiungere la seguente dichiarazione al tuo ruolo IAM.
```
{
"Effect": "Allow",
"Action": [
“kms:Decrypt”
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}
```
Puoi creare politiche IAM personalizzate per consentire le autorizzazioni per le operazioni API per la gestione dei lavori. AWS Snowball Edge Puoi collegare queste policy personalizzate agli utenti o ai gruppi IAM che richiedono le autorizzazioni.
# Esempi di policy gestite dal cliente
In questa sezione, puoi trovare esempi di politiche utente che concedono autorizzazioni per varie azioni di gestione dei AWS Snowball Edge lavori. Queste politiche funzionano quando si utilizza AWS SDKs o il AWS CLI. Se utilizzi la console, sarà necessario concedere autorizzazioni aggiuntive specifiche per quest'ultima, come illustrato in [Autorizzazioni necessarie per utilizzare la console AWS Snowball Edge](access-control-managing-permissions.md#additional-console-required-permissions).
**Nota**
Tutti gli esempi utilizzano la regione us-west-2 e contengono account fittizi. IDs
**Topics**
+ [Esempio 1: politica relativa al ruolo che consente a un utente di creare un Job per ordinare un dispositivo Snowball Edge con l'API](#access-policy-example-create-api)
+ [Esempio 2: policy del ruolo per la creazione di processi di importazione](#role-policy-example-import)
+ [Esempio 3: policy del ruolo per la creazione di processi di esportazione](#role-policy-example-export)
+ [Esempio 4: autorizzazioni di ruolo previste e politica di attendibilità](#expected-role-permissions-and-trust-policy)
+ [AWS Snowball Edge Autorizzazioni API: riferimento ad azioni, risorse e condizioni](#snowball-api-permissions-ref)
## Esempio 1: politica relativa al ruolo che consente a un utente di creare un Job per ordinare un dispositivo Snowball Edge con l'API
La seguente policy di autorizzazioni è un componente necessario di qualsiasi policy utilizzata per concedere l'autorizzazione per la creazione di un processo o un cluster utilizzando l'API di gestione dei processi. La dichiarazione è necessaria come dichiarazione politica sulle relazioni di fiducia per il ruolo IAM di Snowball.
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "importexport.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## Esempio 2: policy del ruolo per la creazione di processi di importazione
La seguente politica di fiducia dei ruoli viene utilizzata per creare processi di importazione per Snowball Edge che utilizzano le funzioni AWS Lambda powered by AWS IoT Greengrass .
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucketMultipartUploads"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketPolicy",
"s3:GetBucketLocation",
"s3:ListBucketMultipartUploads",
"s3:ListBucket",
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts",
"s3:PutObjectAcl",
"s3:GetObject"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"snowball:*"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"iot:AttachPrincipalPolicy",
"iot:AttachThingPrincipal",
"iot:CreateKeysAndCertificate",
"iot:CreatePolicy",
"iot:CreateThing",
"iot:DescribeEndpoint",
"iot:GetPolicy"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"lambda:GetFunction"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"greengrass:CreateCoreDefinition",
"greengrass:CreateDeployment",
"greengrass:CreateDeviceDefinition",
"greengrass:CreateFunctionDefinition",
"greengrass:CreateGroup",
"greengrass:CreateGroupVersion",
"greengrass:CreateLoggerDefinition",
"greengrass:CreateSubscriptionDefinition",
"greengrass:GetDeploymentStatus",
"greengrass:UpdateGroupCertificateConfiguration",
"greengrass:CreateGroupCertificateAuthority",
"greengrass:GetGroupCertificateAuthority",
"greengrass:ListGroupCertificateAuthorities",
"greengrass:ListDeployments",
"greengrass:GetGroup",
"greengrass:GetGroupVersion",
"greengrass:GetCoreDefinitionVersion"
],
"Resource": [
"*"
]
}
]
}
```
------
## Esempio 3: policy del ruolo per la creazione di processi di esportazione
La seguente politica di fiducia dei ruoli viene utilizzata per creare lavori di esportazione per Snowball Edge che utilizzano le funzioni AWS Lambda powered by AWS IoT Greengrass .
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"snowball:*"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"iot:AttachPrincipalPolicy",
"iot:AttachThingPrincipal",
"iot:CreateKeysAndCertificate",
"iot:CreatePolicy",
"iot:CreateThing",
"iot:DescribeEndpoint",
"iot:GetPolicy"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"lambda:GetFunction"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"greengrass:CreateCoreDefinition",
"greengrass:CreateDeployment",
"greengrass:CreateDeviceDefinition",
"greengrass:CreateFunctionDefinition",
"greengrass:CreateGroup",
"greengrass:CreateGroupVersion",
"greengrass:CreateLoggerDefinition",
"greengrass:CreateSubscriptionDefinition",
"greengrass:GetDeploymentStatus",
"greengrass:UpdateGroupCertificateConfiguration",
"greengrass:CreateGroupCertificateAuthority",
"greengrass:GetGroupCertificateAuthority",
"greengrass:ListGroupCertificateAuthorities",
"greengrass:ListDeployments",
"greengrass:GetGroup",
"greengrass:GetGroupVersion",
"greengrass:GetCoreDefinitionVersion"
],
"Resource": [
"*"
]
}
]
}
```
------
## Esempio 4: autorizzazioni di ruolo previste e politica di attendibilità
La seguente politica di autorizzazione prevista per i ruoli è necessaria per l'utilizzo di un ruolo di servizio esistente. È una configurazione unica.
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement":
[
{
"Effect": "Allow",
"Action": "sns:Publish",
"Resource": ["[[snsArn]]"]
},
{
"Effect": "Allow",
"Action":
[
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricData",
"cloudwatch:PutMetricData"
],
"Resource":
[
"*"
],
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/SnowFamily"
}
}
}
]
}
```
------
La seguente politica di attendibilità dei ruoli prevista è necessaria per l'utilizzo di un ruolo di servizio esistente. È una configurazione unica.
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "importexport.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## AWS Snowball Edge Autorizzazioni API: riferimento ad azioni, risorse e condizioni
Quando configuri il [Controllo degli accessi in Cloud AWS](access-control.md) e scrivi una policy di autorizzazione che puoi collegare a un'identità IAM (policy basate su identità), puoi utilizzare l'elenco nella seguente come riferimento. La tabella seguente ogni operazione dell'API di gestione dei AWS Snowball Edge lavori e le azioni corrispondenti per le quali è possibile concedere le autorizzazioni per eseguire l'azione. Include inoltre, per ogni operazione API, la AWS risorsa per la quale è possibile concedere le autorizzazioni. Puoi specificare le azioni nel campo `Action` della policy e il valore della risorsa nel campo `Resource`.
Puoi utilizzare i tasti AWS-wide condition nelle tue AWS Snowball Edge politiche per esprimere condizioni. Per un elenco completo delle chiavi AWS-wide, consulta [Available Keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) nella *IAM User Guide*.
**Nota**
Per specificare un'operazione, utilizza il prefisso `snowball:` seguito dal nome dell'operazione API (ad esempio, `snowball:CreateJob`).
Utilizzare le barre di scorrimento per visualizzare il resto della tabella.
**AWS Snowball Edge API Job Management e autorizzazioni richieste per le azioni**
| Operazioni delle API di gestione dei processi | Autorizzazioni richieste |
| --- | --- |
| [CancelCluster](https://docs.aws.amazon.com/snowball/latest/api-reference/API_CancelCluster.html) | snowball:CancelCluster |
| [CancelJob](https://docs.aws.amazon.com/snowball/latest/api-reference/API_CancelJob.html) | `snowball:CancelJob` |
| [CreateAddress](https://docs.aws.amazon.com/snowball/latest/api-reference/API_CreateAddress.html) | snowball:CreateAddress |
| [CreateCluster](https://docs.aws.amazon.com/snowball/latest/api-reference/API_CreateCluster.html) | Questa operazione richiede le autorizzazioni seguenti: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/snowball/latest/developer-guide/access-policy-examples-for-sdk-cli.html) |
| [CreateJob](https://docs.aws.amazon.com/snowball/latest/api-reference/API_CreateJob.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/snowball/latest/developer-guide/access-policy-examples-for-sdk-cli.html) |
| [DescribeAddress](https://docs.aws.amazon.com/snowball/latest/api-reference/API_DescribeAddress.html) | snowball:DescribeAddress |
| [DescribeAddresses](https://docs.aws.amazon.com/snowball/latest/api-reference/API_DescribeAddresses.html) | snowball:DescribeAddresses |
| [DescribeCluster](https://docs.aws.amazon.com/snowball/latest/api-reference/API_DescribeCluster.html) | snowball:DescribeCluster |
| [DescribeJob](https://docs.aws.amazon.com/snowball/latest/api-reference/API_DescribeJob.html) | snowball:DescribeJob |
| [GetJobManifest](https://docs.aws.amazon.com/snowball/latest/api-reference/API_GetJobManifest.html) | snowball:GetJobManifest |
| [GetJobUnlockCode](https://docs.aws.amazon.com/snowball/latest/api-reference/API_GetJobUnlockCode.html) | snowball:GetJobUnlockCode |
| [GetSnowballUsage](https://docs.aws.amazon.com/snowball/latest/api-reference/API_GetSnowballUsage.html) | snowball:GetSnowballUsage |
| [ListClusterJobs](https://docs.aws.amazon.com/snowball/latest/api-reference/API_ListClusterJobs.html) | snowball:ListClusterJobs |
| [ListClusters](https://docs.aws.amazon.com/snowball/latest/api-reference/API_ListClusters.html) | snowball:ListClusters |
| [ListJobs](https://docs.aws.amazon.com/snowball/latest/api-reference/API_ListJobs.html) | snowball:ListJobs |
| [UpdateCluster](https://docs.aws.amazon.com/snowball/latest/api-reference/API_UpdateCluster.html) | snowball:UpdateCluster |
| [UpdateJob](https://docs.aws.amazon.com/snowball/latest/api-reference/API_UpdateJob.html) | snowball:UpdateJob |