Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Ruolo IAM dell’infrastruttura Amazon ECS
<a name="infrastructure_IAM_role"></a>

Un ruolo IAM dell'infrastruttura Amazon ECS consente ad Amazon ECS di gestire le risorse dell'infrastruttura nei cluster per te e viene usato quando:
+ Desideri collegare volumi Amazon EBS alle tue attività Amazon ECS di tipo Fargate o EC2. Il ruolo dell'infrastruttura consente ad Amazon ECS di gestire i volumi Amazon EBS per le tue attività.

  Puoi usare le policy gestite `AmazonECSInfrastructureRolePolicyForVolumes`.
+ Desideri utilizzare Transport Layer Security (TLS) per crittografare il traffico tra i servizi Amazon ECS Service Connect.

  Puoi usare le policy gestite `AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity`.
+ È preferibile creare gruppi di destinazione di Amazon VPC Lattice.

  Puoi usare le policy gestite `AmazonECSInfrastructureRolePolicyForVpcLattice`.
+ È preferibile le istanze gestite da Amazon ECS nei tuoi cluster Amazon ECS. Il ruolo dell'infrastruttura consente ad Amazon ECS di gestire il ciclo di vita delle istanze gestite.

  Puoi usare le policy gestite `AmazonECSInfrastructureRolePolicyForManagedInstances`.
+ Vuoi usare la modalità Express. Il ruolo di infrastruttura consente ad Amazon ECS di fornire e gestire i componenti dell'infrastruttura necessari per i servizi in modalità Express, tra cui bilanciamento del carico, gruppi di sicurezza, certificati SSL e configurazioni di scalabilità automatica.

  Puoi usare le policy gestite `AmazonECSInfrastructureRoleforExpressGatewayServices`.

 Quando Amazon ECS assume questo ruolo per intraprendere azioni per tuo conto, gli eventi saranno visibili in AWS CloudTrail. Se Amazon ECS utilizza il ruolo per gestire i volumi Amazon EBS collegati alle tue attività, il CloudTrail log `roleSessionName` sarà. `ECSTaskVolumesForEBS` Se il ruolo viene utilizzato per crittografare il traffico tra i servizi Service Connect, il CloudTrail registro `roleSessionName` sarà`ECSServiceConnectForTLS`. Se il ruolo viene utilizzato per creare gruppi target per VPC Lattice, il CloudTrail registro `roleSessionName` sarà. `ECSNetworkingWithVPCLattice` Se il ruolo viene utilizzato per gestire Amazon ECS Managed Instances, il CloudTrail log `roleSessionName` sarà. `ECSManagedInstancesForCompute` **Puoi usare questo nome per cercare eventi nella CloudTrail console filtrando in base al nome utente.**

Amazon ECS fornisce policy gestite che contengono le autorizzazioni necessarie per il collegamento del volume, TLS, VPC Lattice e le istanze gestite. Per ulteriori informazioni, consulta [Amazon ECSInfrastructure RolePolicyForVolumes](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForVolumes.html), [Amazon ECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity.html) ECSInfrastructureRolePolicyForVpcLattice, [Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForVpcLattice.html) e [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForManagedInstances.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForManagedInstances.html) nella *AWS Managed Policy Reference Guide*. 

## Creazione del ruolo dell'infrastruttura Amazon ECS
<a name="create-infrastructure-role"></a>

Sostituisci tutto *user input* con le tue informazioni.

1. Crea un file denominato `ecs-infrastructure-trust-policy.json` contenente la policy di attendibilità da utilizzare per il ruolo IAM. Il file deve contenere il testo seguente:

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	  
     "Statement": [ 
       {
         "Sid": "AllowAccessToECSForInfrastructureManagement", 
         "Effect": "Allow", 
         "Principal": {
           "Service": "ecs.amazonaws.com" 
         }, 
         "Action": "sts:AssumeRole" 
       } 
     ] 
   }
   ```

------

1. Utilizzate il AWS CLI comando seguente per creare un ruolo denominato `ecsInfrastructureRole` utilizzando la politica di fiducia creata nel passaggio precedente.

   ```
   aws iam create-role \
         --role-name ecsInfrastructureRole \
         --assume-role-policy-document file://ecs-infrastructure-trust-policy.json
   ```

1. A seconda del caso d'uso, allega la policy gestita al `ecsInfrastructureRole` ruolo.
   + Per collegare i volumi Amazon EBS alle attività Amazon ECS di tipo Fargate o EC2, allega la policy gestita. `AmazonECSInfrastructureRolePolicyForVolumes`
   + Per utilizzare Transport Layer Security (TLS) per crittografare il traffico tra i tuoi servizi Amazon ECS Service Connect, allega la `AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity` policy gestita.
   + Per creare gruppi target Amazon VPC Lattice, allega la `AmazonECSInfrastructureRolePolicyForVpcLattice` policy gestita.
   + Se desideri utilizzare Amazon ECS Managed Instances nei tuoi cluster Amazon ECS, allega la policy gestita. `AmazonECSInfrastructureRolePolicyForManagedInstances`

   ```
   aws iam attach-role-policy \
         --role-name ecsInfrastructureRole \
         --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForVolumes
   ```

   ```
   aws iam attach-role-policy \
         --role-name ecsInfrastructureRole \
         --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity
   ```

   ```
   aws iam attach-role-policy \
         --role-name ecsInfrastructureRole \
         --policy-arn arn:aws:iam::aws:policy/AmazonECSInfrastructureRolePolicyForManagedInstances
   ```

Puoi inoltre usare il flusso di lavoro della **policy di attendibilità** della console IAM per creare il ruolo. Per ulteriori informazioni, consulta [Creazione di un ruolo utilizzando criteri di attendibilità personalizzati (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) nella *Guida per l'utente di IAM*.

**Importante**  
Se il ruolo dell'infrastruttura viene usato da Amazon ECS per gestire i volumi Amazon EBS associati alle attività, assicurati di quanto segue prima di interrompere le attività che usano i volumi Amazon EBS.  
Il ruolo non viene eliminato.
La policy di attendibilità per il ruolo non viene modificata per rimuovere l'accesso ad Amazon ECS (`ecs.amazonaws.com`).
La policy gestita da `AmazonECSInfrastructureRolePolicyForVolumes` non viene rimossa. Se devi modificare le autorizzazioni del ruolo, mantieni almeno `ec2:DetachVolume`,`ec2:DeleteVolume` e `ec2:DescribeVolumes` per l'eliminazione dei volumi.
L'eliminazione o la modifica del ruolo prima dell'interruzione delle attività con volumi Amazon EBS collegati comporterà il blocco delle attività in `DEPROVISIONING` e l'impossibilità di eliminare i volumi Amazon EBS associati. Amazon ECS riproverà automaticamente a intervalli regolari a interrompere l'attività e a eliminare il volume fino a quando non saranno ripristinate le autorizzazioni necessarie. Puoi visualizzare lo stato del volume allegato a un'attività e il motivo dello stato associato utilizzando l'API. [DescribeTasks](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_DescribeTasks.html)

Dopo aver creato il file, è necessario concedere all'utente l'autorizzazione a trasferire il ruolo ad Amazon ECS.

## Autorizzazione a trasferire il ruolo dell'infrastruttura ad Amazon ECS
<a name="pass_infrastructure_role_to_service"></a>

Per usare un ruolo IAM dell'infrastruttura ECS, devi concedere all'utente l'autorizzazione a trasferire il ruolo ad Amazon ECS. Allega la seguente autorizzazione all'utente `iam:PassRole`. Sostituiscilo *ecsInfrastructureRole* con il nome del ruolo di infrastruttura che hai creato.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": ["arn:aws:iam::*:role/ecsInfrastructureRole"],
            "Condition": {
                "StringEquals": {"iam:PassedToService": "ecs.amazonaws.com"}
            }
        }
    ]
}
```

------

*Per ulteriori informazioni `iam:Passrole` e sull'aggiornamento delle autorizzazioni per il tuo utente, consulta [Concessione a un utente delle autorizzazioni per passare un ruolo a un AWS servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) e [Modifica delle autorizzazioni per un utente IAM nella Guida per l'utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html).AWS Identity and Access Management *