Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Politiche basate sull'identità per AWS AppSync
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse AWS AppSync. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per informazioni dettagliate sulle azioni e sui tipi di risorse definiti da AWS AppSync, incluso il formato di ARNs per ogni tipo di risorsa, vedere [Azioni, risorse e chiavi di condizione AWS AppSync nel *Service* Authorization](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsappsync.html) Reference.
Per conoscere le best practice per la creazione e la configurazione di policy basate sull'identità IAM, consulta. [Le migliori pratiche in materia di policy IAM](best-practices.md#security_iam_service-with-iam-policy-best-practices)
Per un elenco delle politiche basate sull'identità IAM per, consulta. AWS AppSync [AWS politiche gestite per AWS AppSync](security_iam_policy_list.md)
**Topics**
+ [Utilizzo della console AWS AppSync](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Accesso a un bucket Amazon S3](#security_iam_id-based-policy-examples-access-one-bucket)
+ [Visualizzazione in base ai tag AWS AppSync *widgets*](#security_iam_id-based-policy-examples-view-widget-tags)
+ [AWS politiche gestite per AWS AppSync](security_iam_policy_list.md)
## Utilizzo della console AWS AppSync
Per accedere alla AWS AppSync console, è necessario disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle AWS AppSync risorse del tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Per garantire che gli utenti e i ruoli IAM possano continuare a utilizzare la AWS AppSync console, collega anche la policy AWS AppSync `ConsoleAccess` o la policy `ReadOnly` AWS gestita alle entità. Per maggiori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente di IAM*.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa policy include le autorizzazioni per completare questa azione sulla console o utilizzando programmaticamente l' AWS CLI API o. AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Accesso a un bucket Amazon S3
In questo esempio, vuoi concedere a un utente IAM del tuo AWS account l'accesso a uno dei tuoi bucket Amazon S3,. `examplebucket` Si vuole anche consentire all'utente di aggiungere, aggiornare ed eliminare oggetti.
Oltre ad assegnare le autorizzazioni `s3:PutObject`, `s3:GetObject` e `s3:DeleteObject` all'utente, la policy assegna anche le autorizzazioni `s3:ListAllMyBuckets`, `s3:GetBucketLocation` e `s3:ListBucket`. Queste sono le autorizzazioni aggiuntive richieste dalla console. Inoltre, le operazioni `s3:PutObjectAcl` e `s3:GetObjectAcl` sono necessarie per essere in grado di copiare, tagliare e incollare gli oggetti nella console. Per un esempio di procedura dettagliata che concede le autorizzazioni agli utenti e li verifica utilizzando la console, consulta [Un esempio di procedura dettagliata: Using user policy to control access to your bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ListBucketsInConsole",
"Effect":"Allow",
"Action":[
"s3:ListAllMyBuckets"
],
"Resource":"arn:aws:s3:::*"
},
{
"Sid":"ViewSpecificBucketInfo",
"Effect":"Allow",
"Action":[
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource":"arn:aws:s3:::examplebucket"
},
{
"Sid":"ManageBucketContents",
"Effect":"Allow",
"Action":[
"s3:PutObject",
"s3:PutObjectAcl",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:DeleteObject"
],
"Resource":"arn:aws:s3:::examplebucket/*"
}
]
}
```
------
## Visualizzazione in base ai tag AWS AppSync *widgets*
È possibile utilizzare le condizioni nella policy basata sulle identità per controllare l'accesso alle risorse di AWS AppSync in base ai tag. Questo esempio mostra come creare una policy che consente di visualizzare una *widget*. Tuttavia, l'autorizzazione viene concessa solo se il valore del tag `Owner` *widget* è quello del nome utente. Questa policy concede anche le autorizzazioni necessarie per completare questa azione nella console.
Puoi allegare questa policy agli utenti IAM nel tuo account. Se un utente denominato `richard-roe` tenta di visualizzare un *widget* AWS AppSync, il *widget* deve essere contrassegnato `Owner=richard-roe` o `owner=richard-roe`. In caso contrario l'accesso è negato. La chiave di tag di condizione `Owner` corrisponde a `Owner` e `owner` perché i nomi delle chiavi di condizione non effettuano la distinzione tra maiuscole e minuscole. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
# AWS politiche gestite per AWS AppSync
Per aggiungere autorizzazioni a utenti, gruppi e ruoli, è più facile utilizzare le policy AWS gestite che scriverle autonomamente. La [creazione di policy gestite dai clienti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) che forniscono al tuo team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza. Per iniziare rapidamente, puoi utilizzare le nostre politiche AWS gestite. Queste policy coprono i casi d’uso comuni e sono disponibili nell’account Account AWS. Per ulteriori informazioni sulle policy AWS gestite, consulta le [policy AWS gestite](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *IAM User Guide*.
AWS i servizi mantengono e aggiornano le politiche AWS gestite. Non è possibile modificare le autorizzazioni nelle politiche AWS gestite. I servizi aggiungono occasionalmente autorizzazioni aggiuntive a una policy AWS gestita per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino una politica AWS gestita quando viene lanciata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy AWS gestita, quindi gli aggiornamenti delle policy non comprometteranno le autorizzazioni esistenti.
Inoltre, AWS supporta politiche gestite per le funzioni lavorative che si estendono su più servizi. Ad esempio, la policy **ReadOnlyAccess** AWS gestita fornisce l'accesso in sola lettura a tutti i AWS servizi e le risorse. Quando un servizio lancia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per l’elenco e la descrizione delle policy di funzione dei processi, consultare la sezione [Policy gestite da AWS per funzioni di processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
## AWS politica gestita: AWSApp SyncInvokeFullAccess
Utilizza la policy `AWSAppSyncInvokeFullAccess` AWS gestita per consentire agli amministratori di accedere al AWS AppSync servizio tramite la console o in modo indipendente.
È possibile allegare la policy `AWSAppSyncInvokeFullAccess` alle identità IAM.
### Dettagli delle autorizzazioni
Questa policy include le seguenti autorizzazioni:
+ `AWS AppSync`— Consente l'accesso amministrativo completo a tutte le risorse in AWS AppSync
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appsync:GraphQL",
"appsync:GetGraphqlApi",
"appsync:ListGraphqlApis",
"appsync:ListApiKeys"
],
"Resource": "*"
}
]
}
```
------
## AWS politica gestita: AWSApp SyncSchemaAuthor
Utilizza la policy `AWSAppSyncSchemaAuthor` AWS gestita per consentire agli utenti IAM di accedere per creare, aggiornare e interrogare i propri schemi GraphQL. Per informazioni su cosa possono fare gli utenti con queste autorizzazioni, consulta. [Progettazione di GraphQL APIs con AWS AppSync](designing-a-graphql-api.md)
È possibile allegare la policy `AWSAppSyncSchemaAuthor` alle identità IAM.
### Dettagli delle autorizzazioni
Questa policy include le seguenti autorizzazioni:
+ `AWS AppSync`— Consente le seguenti azioni:
+ Creazione di schemi GraphQL
+ Consentire la creazione, la modifica e l'eliminazione di tipi, resolver e funzioni GraphQL
+ Valutazione della logica dei modelli di richiesta e risposta
+ Valutazione del codice con un runtime e un contesto
+ Invio di query GraphQL a GraphQL APIs
+ Recupero dei dati GraphQL
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appsync:GraphQL",
"appsync:CreateResolver",
"appsync:CreateType",
"appsync:DeleteResolver",
"appsync:DeleteType",
"appsync:GetResolver",
"appsync:GetType",
"appsync:GetDataSource",
"appsync:GetSchemaCreationStatus",
"appsync:GetIntrospectionSchema",
"appsync:GetGraphqlApi",
"appsync:ListTypes",
"appsync:ListApiKeys",
"appsync:ListResolvers",
"appsync:ListDataSources",
"appsync:ListGraphqlApis",
"appsync:StartSchemaCreation",
"appsync:UpdateResolver",
"appsync:UpdateType",
"appsync:TagResource",
"appsync:UntagResource",
"appsync:ListTagsForResource",
"appsync:CreateFunction",
"appsync:UpdateFunction",
"appsync:GetFunction",
"appsync:DeleteFunction",
"appsync:ListFunctions",
"appsync:ListResolversByFunction",
"appsync:EvaluateMappingTemplate",
"appsync:EvaluateCode"
],
"Resource": "*"
}
]
}
```
------
## AWS politica gestita: AWSApp SyncPushToCloudWatchLogs
AWS AppSync utilizza Amazon CloudWatch per monitorare le prestazioni della tua applicazione generando log che puoi utilizzare per risolvere i problemi e ottimizzare le tue richieste GraphQL. Per ulteriori informazioni, consulta [Utilizzo CloudWatch per monitorare e registrare i dati dell'API GraphQL](monitoring.md).
Utilizza la policy `AWSAppSyncPushToCloudWatchLogs` AWS gestita per consentire di inviare i log AWS AppSync all'account di un utente IAM. CloudWatch
È possibile allegare la policy `AWSAppSyncPushToCloudWatchLogs` alle identità IAM.
### Dettagli delle autorizzazioni
Questa policy include le seguenti autorizzazioni:
+ `CloudWatch Logs`— Consente di AWS AppSync creare gruppi di log e flussi con nomi specifici. AWS AppSyncinvia gli eventi di registro al flusso di registro specificato.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "*"
}
]
}
```
------
## AWS politica gestita: AWSApp SyncAdministrator
Utilizza la policy `AWSAppSyncAdministrator` AWS gestita per consentire agli amministratori di accedere a tutto AWS AppSync tranne che alla AWS console.
Puoi collegarti `AWSAppSyncAdministrator` alle tue entità IAM. AWS AppSync associa inoltre questa policy a un ruolo di servizio che gli consente di eseguire azioni per tuo conto.
### Dettagli delle autorizzazioni
Questa policy include le seguenti autorizzazioni:
+ `AWS AppSync`— Consente l'accesso amministrativo completo a tutte le risorse in AWS AppSync
+ `IAM`— Consente le seguenti azioni:
+ Creazione di ruoli collegati ai servizi AWS AppSync per consentire l'analisi delle risorse in altri servizi per conto dell'utente
+ Eliminazione di ruoli collegati ai servizi
+ Trasferimento di ruoli collegati ai servizi ad altri AWS servizi per assumerli in un secondo momento ed eseguire azioni per conto dell'utente
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appsync:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"appsync.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "appsync.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/appsync.amazonaws.com/AWSServiceRoleForAppSync*"
}
]
}
```
------
## AWS politica gestita: AWSApp SyncServiceRolePolicy
Utilizza la politica `AWSAppSyncServiceRolePolicy` AWS gestita per consentire l'accesso ai AWS servizi e alle risorse che AWS AppSync utilizza o gestisce.
Non è possibile collegare `AWSAppSyncServiceRolePolicy`alle entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente di eseguire azioni AWS AppSync per conto dell'utente. Per ulteriori informazioni, consulta [Ruoli collegati ai servizi per AWS AppSync](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked).
### Dettagli delle autorizzazioni
Questa policy include le seguenti autorizzazioni:
+ `X-Ray`— AWS AppSync utilizza AWS X-Ray per raccogliere dati sulle richieste effettuate all'interno dell'applicazione. Per ulteriori informazioni, consulta [Utilizzo AWS X-Ray per tracciare le richieste in AWS AppSync](x-ray-tracing.md).
Questa politica consente le seguenti azioni:
+ Recupero delle regole di campionamento e dei relativi risultati
+ Invio di dati di traccia al demone X-Ray
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:PutTraceSegments",
"xray:PutTelemetryRecords",
"xray:GetSamplingTargets",
"xray:GetSamplingRules",
"xray:GetSamplingStatisticSummaries"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS AppSync aggiornamenti alle politiche gestite AWS
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite AWS AppSync da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei AWS AppSync documenti.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWSAppSyncSchemaAuthor](#security-iam-awsmanpol-AWSAppSyncSchemaAuthor) - Aggiornamento a una policy esistente | È stata aggiunta un'azione `EvaluateCode` politica per consentire agli utenti di valutare il codice con un runtime e un contesto. | 7 febbraio 2023 |
| [AWSAppSyncSchemaAuthor](#security-iam-awsmanpol-AWSAppSyncSchemaAuthor) - Aggiornamento a una policy esistente | Sono state aggiunte azioni politiche per consentire le funzioni di elenco, acquisizione, creazione, aggiornamento ed eliminazione per un'API. È stata aggiunta un'azione `EvaluateMappingTemplate` politica per consentire agli utenti di valutare la logica del modello di mappatura del resolver di richieste e risposte. Sono state aggiunte azioni politiche per consentire l'etichettatura delle risorse. | 25 agosto 2022 |
| AWS AppSync ha iniziato a tenere traccia delle modifiche | AWS AppSync ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 25 agosto 2022 |