Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Configurazione dei ruoli IAM per le app web Transfer Family Avrai bisogno di due ruoli: uno da usare come portatore di identità per la tua app web e un secondo da usare per configurare una concessione di accesso. Un ruolo di portatore di identità è un ruolo che include l'identità di un utente autenticato nelle sue sessioni. Viene utilizzato per effettuare richieste a S3 Access Grants per l'accesso ai dati per conto dell'utente. **Nota** Puoi saltare la procedura per la creazione di un ruolo di portatore di identità. Per informazioni sulla creazione del ruolo di portatore di identità da parte del servizio Transfer Family, vedere[Crea un'app web Transfer Family](webapp-configure.md#web-app-create). Puoi saltare la procedura per la creazione di un ruolo di concessione di accesso. Nella procedura per la creazione di una concessione di accesso, nella fase in cui registri una sede S3, scegli **Crea** nuovo ruolo. **Crea un ruolo di portatore di identità** 1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Scegli **Ruoli**, quindi **Crea ruolo**. 1. Scegli **Politica di fiducia personalizzata**, quindi incolla il codice seguente. ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service":"transfer.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] } ``` 1. Scegli **Avanti**, quindi salta **Aggiungi autorizzazioni** e seleziona nuovamente **Avanti**. 1. Inserisci un nome, ad esempio. `web-app-identity-bearer` 1. Scegli **Crea ruolo** per creare il ruolo di portatore di identità. 1. Scegli il ruolo che hai appena creato dall'elenco, quindi nel pannello **Politiche di autorizzazione, scegli **Aggiungi autorizzazioni**** > **Crea** politica in linea. 1. Nell'**editor delle politiche**, seleziona **JSON** e quindi incolla il seguente blocco di codice. ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetDataAccess", "s3:ListCallerAccessGrants", "s3:ListAccessGrantsInstances" ], "Resource": "*" } ] } ``` 1. Per il nome della policy, inserisci`AllowS3AccessGrants`, quindi seleziona **Crea policy**. Successivamente, crei il ruolo che S3 Access Grants assume per fornire credenziali temporanee all'assegnatario. **Nota** Se consenti al servizio di creare per te il ruolo di portatore di identità, quel ruolo crea una confusa protezione sostitutiva. Pertanto, il suo codice è diverso da quello visualizzato qui. **Crea un ruolo per le concessioni di accesso** 1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Scegli **Ruoli**, quindi **Crea ruolo**. Questo ruolo dovrebbe avere l'autorizzazione ad accedere ai tuoi dati S3 in. Regione AWS 1. Scegli **Custom Trust Policy**, quindi incolla il codice seguente. ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "access-grants.s3.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] } ``` 1. Scegli **Avanti** e aggiungi una politica minima come descritto in [Registrare una sede](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-location-register.html). Sebbene non sia consigliato, puoi aggiungere la politica FullAccess gestita di **AmazonS3**, che potrebbe essere troppo permissiva per le tue esigenze. 1. Scegli **Avanti** e inserisci un nome (ad esempio). `access-grants-location` 1. Scegli **Crea ruolo** per creare il ruolo. **Nota** Se consenti al servizio di creare il ruolo Access Grants al posto tuo, quel ruolo creerà confusione nella protezione dei sostituti. Pertanto, il suo codice è diverso da quello visualizzato qui.