Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Utilizza una policy gestita da IAM per concedere le autorizzazioni per gli snapshot basati su VSS
<a name="vss-iam-reqs"></a>

La policy gestita AWSEC2VssSnapshotPolicy consente a Systems Manager di eseguire le seguenti azioni sull'istanza di Windows:
+ Crea e applica tag agli snapshot EBS
+ Creare ed etichettare Amazon Machine Images (AMIs)
+ collega metadati, come ad esempio l'ID dispositivo, ai tag degli snapshot predefiniti creati da VSS.

In questo argomento vengono illustrati i dettagli delle autorizzazioni per la policy gestita da VSS e come collegarla al ruolo IAM del profilo dell'istanza EC2.

**Topics**
+ [AWSEC2VssSnapshotPolicy dettagli della politica gestita](#vss-iam-manpol-AWSEC2VssSnapshotPolicy)
+ [Collega la policy gestita degli snapshot VSS al ruolo del profilo dell'istanza](#vss-snapshots-attach-policy)

## AWSEC2VssSnapshotPolicy dettagli della politica gestita
<a name="vss-iam-manpol-AWSEC2VssSnapshotPolicy"></a>

Una politica AWS gestita è una politica autonoma che Amazon fornisce ai AWS clienti. AWS le politiche gestite sono progettate per concedere autorizzazioni per casi d'uso comuni. Non è possibile modificare le autorizzazioni definite nelle politiche AWS gestite. Tuttavia, è possibile copiare la policy e utilizzarla come base per una [policy gestita dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) per il caso d'uso specifico.

 Per ulteriori informazioni sulle policy AWS gestite, consulta le [policy AWS gestite](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *IAM User Guide*.

Per utilizzare la policy gestita da **AWSEC2VssSnapshotPolicy**, puoi collegarla al ruolo IAM associato alle istanze Windows EC2. Questa policy consente alla soluzione VSS EC2 di creare e aggiungere tag ad Amazon Machine Images (AMIs) e EBS Snapshots. Per collegare la policy, consultare [Collega la policy gestita degli snapshot VSS al ruolo del profilo dell'istanza](#vss-snapshots-attach-policy).

### Autorizzazioni concesse da AWSEC2VssSnapshotPolicy
<a name="vss-iam-manpol-AWSEC2VssSnapshotPolicy-details"></a>

La policy **AWSEC2VssSnapshotPolicy** include le seguenti autorizzazioni Amazon EC2 per consentire ad Amazon EC2 di creare e gestire snapshot VSS per tuo conto. Puoi collegare questa policy gestita al ruolo del profilo dell'istanza IAM che usi per le istanze EC2 Windows.
+ **ec2: CreateTags** — Aggiungi tag agli snapshot EBS e aiuta a identificare e AMIs classificare le risorse.
+ **ec2: DescribeInstanceAttribute** — Recupera i volumi EBS e le corrispondenti mappature dei dispositivi a blocchi collegati all'istanza di destinazione.
+ **ec2: CreateSnapshots** — Crea istantanee dei volumi EBS.
+ **ec2: CreateImage** — Crea un AMI da un'istanza EC2 in esecuzione.
+ **ec2: DescribeImages** — Recupera le informazioni per EC2 e le istantanee. AMIs 
+ **ec2: DescribeSnapshots** — Determina l'ora e lo stato di creazione delle istantanee per verificare la coerenza dell'applicazione.

**Nota**  
Per vedere le autorizzazioni per questa policy, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSEC2VssSnapshotPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSEC2VssSnapshotPolicy.html) nella * Guida di riferimento sulle policy gestite da AWS *.

### Semplifica le autorizzazioni per casi d'uso specifici: avanzate
<a name="scope-down-perms"></a>

La policy gestita `AWSEC2VssSnapshotPolicy` include le autorizzazioni per tutti i modi in cui è possibile creare snapshot basati su VSS. È possibile creare una policy personalizzata che include solo le autorizzazioni necessarie.

**Caso d'uso: creazione di AMI, caso d'uso: AWS Backup servizio di utilizzo**

Se si utilizza esclusivamente l'`CreateAmi`opzione o se si creano istantanee basate su VSS solo tramite il AWS Backup servizio, è possibile semplificare le dichiarazioni politiche come segue.
+ Omettete le dichiarazioni politiche identificate dalla seguente dichiarazione (): IDs SIDs
  + `CreateSnapshotsWithTag`
  + `CreateSnapshotsAccessInstance`
  + `CreateSnapshotsAccessVolume`
+ Modifica l'istruzione `CreateTagsOnResourceCreation` come segue:
  + Rimuovi `arn:aws:ec2:*:*:snapshot/*` dalle risorse.
  + Rimuovi `CreateSnapshots` dalla condizione `ec2:CreateAction`.
+ Modifica l'istruzione `CreateTagsAfterResourceCreation` per rimuovere `arn:aws:ec2:*:*:snapshot/*` dalle risorse.
+ Modifica l'istruzione `DescribeImagesAndSnapshots` per rimuovere `ec2:DescribeSnapshots` dall'azione presente nell'istruzione.

**Caso d'uso: solo snapshot**

Se non si utilizza l'opzione `CreateAmi`, è possibile semplificare le istruzioni della policy come segue.
+ Omettete le dichiarazioni politiche identificate dalla seguente dichiarazione IDs ()SIDs:
  + `CreateImageAccessInstance`
  + `CreateImageWithTag`
+ Modifica l'istruzione `CreateTagsOnResourceCreation` come segue:
  + Rimuovi `arn:aws:ec2:*:*:image/*` dalle risorse.
  + Rimuovi `CreateImage` dalla condizione `ec2:CreateAction`.
+ Modifica l'istruzione `CreateTagsAfterResourceCreation` per rimuovere `arn:aws:ec2:*:*:image/*` dalle risorse.
+ Modifica l'istruzione `DescribeImagesAndSnapshots` per rimuovere `ec2:DescribeImages` dall'azione presente nell'istruzione.

**Nota**  
Per garantire che la policy personalizzata funzioni come previsto, si consiglia di rivedere e incorporare regolarmente gli aggiornamenti alla policy gestita.

## Collega la policy gestita degli snapshot VSS al ruolo del profilo dell'istanza
<a name="vss-snapshots-attach-policy"></a>

Per concedere le autorizzazioni per gli snapshot basati su VSS per l'istanza EC2 Windows, puoi collegare la policy gestita da **AWSEC2VssSnapshotPolicy** al ruolo del profilo dell'istanza come segue. È importante assicurarsi che l'istanza soddisfi tutti i [Requisiti di sistema](application-consistent-snapshots-prereqs.md#vss-sys-reqs).

**Nota**  
Per utilizzare la policy gestita, sull'istanza deve essere installata la versione `2.3.1` o successiva del pacchetto `AwsVssComponents`. Per la cronologia delle versioni, consulta [AwsVssComponents versioni del pacchetto](vss-comps-history.md#AwsVssComponents-history).

1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione, scegli **Ruoli** per visualizzare un elenco di ruoli IAM a cui hai accesso.

1. Seleziona il link al **Nome ruolo** associato all'istanza. Si apre la pagina dei dettagli del ruolo.

1. Per collegare la policy gestita, scegli **Aggiungi autorizzazioni**, che si trova nell'angolo in alto a destra del pannello dell'elenco. Quindi dall'elenco a discesa seleziona **Collega policy**.

1. Per semplificare i risultati, inserisci il nome della policy nella barra di ricerca (`AWSEC2VssSnapshotPolicy`).

1. Seleziona la casella di controllo accanto al nome della policy da collegare, quindi scegli **Aggiungi autorizzazioni**.