Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Utilizzo di policy IAM per il flusso di dati Amazon Kinesis e Amazon DynamoDB
<a name="kds_iam"></a>

La prima volta che abiliti Amazon Kinesis Data Streams per Amazon DynamoDB, DynamoDB crea automaticamente un ruolo collegato al servizio (IAM) per te. AWS Identity and Access Management Questo ruolo, `AWSServiceRoleForDynamoDBKinesisDataStreamsReplication`, consente a DynamoDB di gestire la replica delle modifiche a livello di elemento ai Kinesis Data Streams per conto dell'utente. Non eliminare questo ruolo collegato al servizio.

Per ulteriori informazioni sui ruoli collegati al servizio, consulta [Utilizzo dei ruoli collegati al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) nella *Guida per l'utente IAM*.

**Nota**  
DynamoDB non supporta le condizioni basate sui tag per le policy IAM.

Per abilitare il flusso di dati Amazon Kinesis per Amazon DynamoDB, è necessario disporre delle seguenti autorizzazioni sulla tabella:
+ `dynamodb:EnableKinesisStreamingDestination`
+ `kinesis:ListStreams`
+ `kinesis:PutRecords`
+ `kinesis:DescribeStream`

Per descrivere il flusso di dati Amazon Kinesis per Amazon DynamoDB per una determinata tabella DynamoDB, è necessario disporre delle seguenti autorizzazioni sulla tabella.
+ `dynamodb:DescribeKinesisStreamingDestination`
+ `kinesis:DescribeStreamSummary`
+ `kinesis:DescribeStream`

Per disabilitare il flusso di dati Amazon Kinesis per Amazon DynamoDB, è necessario disporre delle seguenti autorizzazioni sulla tabella.
+ `dynamodb:DisableKinesisStreamingDestination`

Per aggiornare un flusso di dati Amazon Kinesis per Amazon DynamoDB, è necessario disporre delle seguenti autorizzazioni sulla tabella.
+ `dynamodb:UpdateKinesisStreamingDestination`

Gli esempi seguenti mostrano come utilizzare le policy IAM per concedere autorizzazioni per Amazon Kinesis Data Streams per Amazon DynamoDB.

## Esempio: abilitazione di Amazon Kinesis Data Streams per Amazon DynamoDB
<a name="access-policy-kds-example1"></a>

La seguente policy IAM concede le autorizzazioni per abilitare un flusso di dati Amazon Kinesis per Amazon DynamoDB per la tabella `Music`. Non concede le autorizzazioni per disabilitare, aggiornare o descrivere un flusso di dati Kinesis per DynamoDB per la tabella `Music`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/kinesisreplication.dynamodb.amazonaws.com/AWSServiceRoleForDynamoDBKinesisDataStreamsReplication",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "kinesisreplication.dynamodb.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:EnableKinesisStreamingDestination"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:111122223333:table/Music"
        }
    ]
}
```

------

## Esempio: abilitazione di un flusso di dati Amazon Kinesis per Amazon DynamoDB
<a name="access-policy-kds-example2"></a>

La seguente policy IAM concede le autorizzazioni per aggiornare un flusso di dati Amazon Kinesis per Amazon DynamoDB per la tabella `Music`. Non concede le autorizzazioni per abilitare, disabilitare o descrivere un flusso di dati Amazon Kinesis per Amazon DynamoDB per la tabella `Music`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:UpdateKinesisStreamingDestination"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:111122223333:table/Music"
        }
    ]
}
```

------

## Esempio: disabilitazione di Amazon Kinesis Data Streams per Amazon DynamoDB
<a name="access-policy-kds-example2"></a>

La seguente policy IAM concede le autorizzazioni per aggiornare un flusso di dati Amazon Kinesis per Amazon DynamoDB per la tabella `Music`. Non concede le autorizzazioni per abilitare, aggiornare o descrivere un flusso di dati Amazon Kinesis per Amazon DynamoDB per la tabella `Music`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:DisableKinesisStreamingDestination"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:111122223333:table/Music"
        }
    ]
}
```

------

## Esempio: applicazione selettiva delle autorizzazioni per il flusso di dati Amazon Kinesis per Amazon DynamoDB in base alla risorsa
<a name="access-policy-kds-example3"></a>

La seguente policy IAM concede le autorizzazioni per abilitare e descrivere il flusso di dati Amazon Kinesis per Amazon DynamoDB per la tabella `Music` e non concede le autorizzazioni per disabilitare il flusso di dati Amazon Kinesis per Amazon DynamoDB per la tabella `Orders`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:EnableKinesisStreamingDestination",
                "dynamodb:DescribeKinesisStreamingDestination"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:111122223333:table/Music"
        },
        {
            "Effect": "Deny",
            "Action": [
                "dynamodb:DisableKinesisStreamingDestination"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:111122223333:table/Orders"
        }
    ]
}
```

------

## Utilizzo di ruoli collegati ai servizi per Kinesis Data Streams per DynamoDB
<a name="kds-service-linked-roles"></a>

[Amazon Kinesis Data Streams per Amazon DynamoDB utilizza ruoli collegati ai servizi (IAM). AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un ruolo collegato al servizio è un tipo univoco di ruolo IAM collegato direttamente a Kinesis Data Streams per DynamoDB. I ruoli collegati ai servizi sono predefiniti da Kinesis Data Streams for DynamoDB e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS 

Un ruolo collegato al servizio semplifica la configurazione di Kinesis Data Streams per DynamoDB perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Kinesis Data Streams per DynamoDB definisce le autorizzazioni dei relativi ruoli associati ai servizi e, salvo diversamente definito, solo Kinesis Data Streams potrà assumere i propri ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere collegata a nessun'altra entità IAM.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruolo associato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

### Autorizzazioni dei ruoli collegati ai servizi per Kinesis Data Streams per DynamoDB
<a name="slr-permissions"></a>

Kinesis Data Streams for DynamoDB utilizza il ruolo collegato al servizio denominato. **AWSServiceRoleForDynamoDBKinesisDataStreamsReplication** Lo scopo di questo ruolo collegato al servizio è di consentire ad Amazon DynamoDB di gestire la replica delle modifiche a livello di elemento al flusso di dati Kinesis per conto dell'utente.

Ai fini dell’assunzione del ruolo, il ruolo collegato al servizio `AWSServiceRoleForDynamoDBKinesisDataStreamsReplication` considera attendibili i seguenti servizi:
+ `kinesisreplication.dynamodb.amazonaws.com`

La policy delle autorizzazioni del ruolo consente a Kinesis Data Streams per DynamoDB per completare le seguenti operazioni sulle risorse specificate:
+ Operazione: `Put records and describe` su `Kinesis stream`
+ Azione: `Generate data keys` attiva per inserire dati `AWS KMS` negli stream Kinesis crittografati utilizzando chiavi generate dall'utente. AWS KMS 

[Per i contenuti esatti del documento informativo, consulta Dynamo. DBKinesis ReplicationServiceRolePolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/aws-service-role/DynamoDBKinesisReplicationServiceRolePolicy)

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/contributorinsights-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente di IAM*.

### Creazione di un ruolo collegato ai servizi per Kinesis Data Streams per DynamoDB
<a name="create-slr"></a>

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando abiliti Kinesis Data Streams for DynamoDB nella, o nell' AWS CLI AWS API, Kinesis Data Streams for Console di gestione AWS DynamoDB crea automaticamente il ruolo collegato al servizio. 

Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando si abilita Kinesis Data Streams per DynamoDB, questo crea automaticamente il ruolo collegato ai servizi. 

### Modifica di un ruolo collegato ai servizi per Kinesis Data Streams per DynamoDB
<a name="edit-slr"></a>

Kinesis Data Streams per DynamoDB non consente di modificare il ruolo collegato ai servizi `AWSServiceRoleForDynamoDBKinesisDataStreamsReplication`. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta la sezione [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/contributorinsights-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente di IAM*.

### Eliminazione di un ruolo collegato ai servizi per Kinesis Data Streams per DynamoDB
<a name="delete-slr"></a>

Puoi anche utilizzare la console IAM, the o l'API per eliminare manualmente il ruolo collegato al servizio AWS CLI . AWS Per farlo, sarà necessario prima eseguire manualmente la pulizia delle risorse associate al ruolo collegato ai servizi e poi eliminarlo manualmente.

**Nota**  
Se il servizio Kinesis Data Streams per DynamoDB utilizza tale ruolo quando si prova a eliminare le risorse, è possibile che l'eliminazione non abbia esito positivo. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.

**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**

Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al `AWSServiceRoleForDynamoDBKinesisDataStreamsReplication` servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) nella *Guida per l’utente di IAM*.