Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Prerequisiti di parco istanze EC2
<a name="ec2-fleet-prerequisites"></a>

**Topics**
+ [Modello di avvio](#ec2-fleet-prerequisites-launch-template)
+ [Ruolo collegato al servizio per parco istanze EC2](#ec2-fleet-service-linked-role)
+ [Concedi l'accesso alle chiavi gestite dal cliente da utilizzare con istantanee crittografate AMIs ed EBS](#ec2-fleet-service-linked-roles-access-to-cmks)
+ [Autorizzazioni del parco istanze EC2 per gli utenti](#ec2-fleet-iam-users)

## Modello di avvio
<a name="ec2-fleet-prerequisites-launch-template"></a>

Un modello di avvio specifica le informazioni di configurazione riguardo alle istanze da avviare, come il tipo di istanza e la zona di disponibilità. Per ulteriori informazioni sui modelli di avvio, consulta [Archivia i parametri di avvio dell'istanza nei modelli di avvio di Amazon EC2](ec2-launch-templates.md).

## Ruolo collegato al servizio per parco istanze EC2
<a name="ec2-fleet-service-linked-role"></a>

Il ruolo `AWSServiceRoleForEC2Fleet` concede al parco istanze EC2 l’autorizzazione per richiedere, avviare e terminare le istanze, e applicarvi tag per tuo conto. Amazon EC2 utilizza questo ruolo collegato ai servizi per completare le operazioni seguenti:
+ `ec2:RunInstances` – Avviare istanze.
+ `ec2:RequestSpotInstances` – Richiesta Istanze spot.
+ `ec2:TerminateInstances` – Terminare istanze
+ `ec2:DescribeImages`— Descrivi Amazon Machine Images (AMIs) per le istanze.
+ `ec2:DescribeInstanceStatus` – Descrivere lo stato delle istanze.
+ `ec2:DescribeSubnets` – Descrivere le sottoreti per le istanze.
+ `ec2:CreateTags` – Aggiungere tag a parco istanze EC2, istanze e volumi.

Assicurati che questo ruolo esista prima di utilizzare AWS CLI o un'API per creare una flotta EC2.

**Nota**  
Un parco istanze EC2 `instant` non richiede questo ruolo.

Per creare il ruolo, utilizzare la console IAM nel modo seguente.

**Per creare il AWSServiceRoleForEC2Fleet ruolo per EC2 Fleet**

1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel pannello di navigazione, seleziona **Roles** (Ruoli).

1. Selezionare **Create role (Crea ruolo)**.

1. Nella pagina **Seleziona un’entità attendibile**, esegui le operazioni seguenti:

   1. Per **Tipo di entità attendibile**, scegli **Servizio AWS **.

   1. In **Caso d’uso**, per **Servizio o caso d’uso**, scegli **EC2 – Parco istanze**.
**Suggerimento**  
Assicurati di scegliere **EC2 – Parco istanze**. Se scegli **EC2**, il caso d’uso **EC2 – Parco istanze** non appare nell’elenco dei **casi d’uso**. Lo use case **EC2 - Fleet** creerà automaticamente una policy con le autorizzazioni IAM richieste e suggerirà **AWSServiceRoleForEC2Fleet come nome** del ruolo.

   1. Scegli **Next (Successivo)**.

1. Nella pagina **Add permissions** (Aggiungi autorizzazioni), scegli **Next** (Successivo).

1. Nella pagina **Nomina, rivedi e crea** scegli **Crea ruolo**.

**Se non hai più bisogno di utilizzare EC2 Fleet, ti consigliamo di eliminare il AWSService RoleFor EC2 ruolo Fleet.** Dopo che questo ruolo è stato eliminato dal proprio account, è possibile creare di nuovo il ruolo se si crea un altro parco istanze.

Per ulteriori informazioni, consulta [Ruoli collegati ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) nella *Guida per l’utente di IAM*.

## Concedi l'accesso alle chiavi gestite dal cliente da utilizzare con istantanee crittografate AMIs ed EBS
<a name="ec2-fleet-service-linked-roles-access-to-cmks"></a>

Se specifichi un'[AMI crittografata](AMIEncryption.md) o uno snapshot Amazon EBS crittografato nella tua flotta EC2 e utilizzi una AWS KMS chiave per la crittografia, devi concedere al ruolo **AWSServiceRoleForEC2Fleet** l'autorizzazione a utilizzare la chiave gestita dal cliente in modo che Amazon EC2 possa avviare istanze per tuo conto. Per farlo, occorre aggiungere una concessione alla chiave gestita dal cliente, come mostrato nella procedura seguente.

Nel processo di assegnazione delle autorizzazioni, le concessioni rappresentano un’alternativa alle policy delle chiavi. Per ulteriori informazioni, consulta [Utilizzo delle concessioni](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) e [Utilizzo delle policy delle chiavi in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.

**Per concedere al ruolo AWSService RoleFor EC2 Fleet le autorizzazioni per utilizzare la chiave gestita dal cliente**
+ Utilizza il comando [create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html) per aggiungere una concessione alla chiave gestita dal cliente e per specificare il principale (il ruolo collegato al servizio **AWSServiceRoleForEC2Fleet**) a cui è concessa l'autorizzazione per eseguire le operazioni consentite dalla concessione. La chiave gestita dal cliente è specificata dal parametro `key-id` e dall’ARN della chiave gestita dal cliente. Il principale è specificato dal `grantee-principal` parametro e dall'ARN del ruolo collegato al servizio **AWSServiceRoleForEC2Fleet**.

  ```
  aws kms create-grant \
      --region us-east-1 \
      --key-id arn:aws:kms:us-east-1:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab \
      --grantee-principal arn:aws:iam::111122223333:role/AWSServiceRoleForEC2Fleet \
      --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"
  ```

## Autorizzazioni del parco istanze EC2 per gli utenti
<a name="ec2-fleet-iam-users"></a>

Se gli utenti creano o gestiscono un parco istanze EC2, assicurati di concedere loro le autorizzazioni richieste.

**Per creare una policy per il parco istanze EC2**

1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione, scegli **Policy**.

1. Scegli **Create Policy** (Crea policy).

1. Nella pagina **Create policy (Crea policy)**, selezionare la scheda **JSON**, sostituire il testo con il seguente, quindi selezionare **Review policy (Rivedi policy)**.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "ec2:*"
               ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                 "iam:ListRoles",
                 "iam:PassRole",
                 "iam:ListInstanceProfiles"
               ],
               "Resource":"arn:aws:iam::123456789012:role/DevTeam*"
           }
       ]
   }
   ```

------

   `ec2:*` concede a un utente l’autorizzazione per chiamare tutte le operazioni API Amazon EC2. Per limitare l’utente a specifiche operazioni API Amazon EC2, è necessario invece indicare tali azioni.

   L’utente deve avere l’autorizzazione per chiamare l’operazione `iam:ListRoles` per enumerare i ruoli IAM esistenti, l’operazione `iam:PassRole` per specificare il ruolo del parco istanze EC2 e l’operazione `iam:ListInstanceProfiles` per enumerare i profili dell’istanza esistenti.

   (Facoltativo) Per consentire a un utente di creare ruoli o profili dell’istanza utilizzando la console IAM, devi inoltre aggiungere le operazioni seguenti alla policy:
   + `iam:AddRoleToInstanceProfile`
   + `iam:AttachRolePolicy`
   + `iam:CreateInstanceProfile`
   + `iam:CreateRole`
   + `iam:GetRole`
   + `iam:ListPolicies`

1. Nella pagina **Review policy (Rivedi policy)**, immettere un nome policy e una descrizione, poi selezionare **Create policy (Crea policy)**.

1. Per fornire l’accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
   + Utenti e gruppi in: AWS IAM Identity Center

     Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) (Creazione di un set di autorizzazioni) nella *Guida per l’utente di AWS IAM Identity Center *.
   + Utenti gestiti in IAM tramite un provider di identità:

     Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) della *Guida per l’utente IAM*.
   + Utenti IAM:
     + Crea un ruolo che l’utente possa assumere. Segui le istruzioni riportate nella pagina [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) della *Guida per l’utente IAM*.
     + (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina [Aggiunta di autorizzazioni a un utente (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.