Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Fase 4: crea un profilo di istanza IAM per le tue istanze Amazon EC2
**Nota**
Se utilizzi la piattaforma di calcolo Amazon ECS o AWS Lambda, salta questo passaggio.
Le tue istanze Amazon EC2 necessitano dell'autorizzazione per accedere ai bucket o ai GitHub repository Amazon S3 in cui sono archiviate le applicazioni. *Per avviare istanze Amazon EC2 compatibili con CodeDeploy, devi creare un ruolo IAM aggiuntivo, un profilo di istanza.* Queste istruzioni mostrano come creare un profilo di istanza IAM da collegare alle istanze Amazon EC2. Questo ruolo consente all' CodeDeploy agente di accedere ai bucket o ai GitHub repository Amazon S3 in cui sono archiviate le applicazioni.
Puoi creare un profilo di istanza IAM con AWS CLI, la console IAM o IAM. APIs
**Nota**
È possibile collegare un profilo dell'istanza IAM a un'istanza Amazon EC2 all'avvio o a un'istanza avviata in precedenza. Per ulteriori informazioni, consulta [Profili di istanza](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-usingrole-instanceprofile.html).
**Topics**
+ [Crea un profilo di istanza IAM per le tue istanze Amazon EC2 (CLI)](#getting-started-create-iam-instance-profile-cli)
+ [Crea un profilo di istanza IAM per le tue istanze Amazon EC2 (console)](#getting-started-create-iam-instance-profile-console)
## Crea un profilo di istanza IAM per le tue istanze Amazon EC2 (CLI)
In queste fasi, presumiamo che tu abbia già seguito le istruzioni per le prime tre fasi di [Guida introduttiva con CodeDeploy](getting-started-codedeploy.md).
1. Nella macchina di sviluppo, creare un file di testo denominato `CodeDeployDemo-EC2-Trust.json`. Incolla il seguente contenuto, che consente ad Amazon EC2 di lavorare per tuo conto:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"ec2.cn-north-1.amazonaws.com",
"ec2.cn-northwest-1.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Nella stessa directory, crea un file di testo denominato `CodeDeployDemo-EC2-Permissions.json`. Incolla il contenuto seguente:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:Get*",
"s3:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
**Nota**
Ti consigliamo di limitare questa politica solo ai bucket Amazon S3 a cui devono accedere le tue istanze Amazon EC2. Assicurati di consentire l'accesso ai bucket Amazon S3 che contengono l'agente. CodeDeploy In caso contrario, potrebbe verificarsi un errore quando l' CodeDeploy agente viene installato o aggiornato sulle istanze. Per concedere al profilo dell'istanza IAM l'accesso solo ad alcuni bucket del kit di CodeDeploy risorse in Amazon S3, utilizza la seguente policy, ma rimuovi le righe relative ai bucket a cui desideri impedire l'accesso:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::aws-codedeploy-us-east-2/*",
"arn:aws:s3:::aws-codedeploy-us-east-1/*",
"arn:aws:s3:::aws-codedeploy-us-west-1/*",
"arn:aws:s3:::aws-codedeploy-us-west-2/*",
"arn:aws:s3:::aws-codedeploy-ca-central-1/*",
"arn:aws:s3:::aws-codedeploy-eu-west-1/*",
"arn:aws:s3:::aws-codedeploy-eu-west-2/*",
"arn:aws:s3:::aws-codedeploy-eu-west-3/*",
"arn:aws:s3:::aws-codedeploy-eu-central-1/*",
"arn:aws:s3:::aws-codedeploy-eu-central-2/*",
"arn:aws:s3:::aws-codedeploy-eu-north-1/*",
"arn:aws:s3:::aws-codedeploy-eu-south-1/*",
"arn:aws:s3:::aws-codedeploy-eu-south-2/*",
"arn:aws:s3:::aws-codedeploy-il-central-1/*",
"arn:aws:s3:::aws-codedeploy-ap-east-1/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-1/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-2/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-3/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-1/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-2/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-3/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-4/*",
"arn:aws:s3:::aws-codedeploy-ap-south-1/*",
"arn:aws:s3:::aws-codedeploy-ap-south-2/*",
"arn:aws:s3:::aws-codedeploy-me-central-1/*",
"arn:aws:s3:::aws-codedeploy-me-south-1/*",
"arn:aws:s3:::aws-codedeploy-sa-east-1/*"
]
}
]
}
```
**Nota**
Se desideri utilizzare l'[autorizzazione IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-authorization) o gli endpoint Amazon Virtual Private Cloud (VPC) con CodeDeploy, dovrai aggiungere altre autorizzazioni. Per ulteriori informazioni, consulta [Utilizzo CodeDeploy con Amazon Virtual Private Cloud](https://docs.aws.amazon.com/codedeploy/latest/userguide/vpc-endpoints).
1. Dalla stessa directory, chiama il **create-role** comando per creare un ruolo IAM denominato**CodeDeployDemo-EC2-Instance-Profile**, in base alle informazioni contenute nel primo file:
**Importante**
Assicurarsi di includere `file://` prima del nome del file. Questo è obbligatorio in questo comando.
```
aws iam create-role --role-name CodeDeployDemo-EC2-Instance-Profile --assume-role-policy-document file://CodeDeployDemo-EC2-Trust.json
```
1. Dalla stessa directory chiama il comando **put-role-policy** per concedere a un ruolo denominato **CodeDeployDemo-EC2-Instance-Profile** le autorizzazioni in base alle informazioni del secondo file:
**Importante**
Assicurarsi di includere `file://` prima del nome del file. Questo è obbligatorio in questo comando.
```
aws iam put-role-policy --role-name CodeDeployDemo-EC2-Instance-Profile --policy-name CodeDeployDemo-EC2-Permissions --policy-document file://CodeDeployDemo-EC2-Permissions.json
```
1. Chiamalo **attach-role-policy** per concedere al ruolo le autorizzazioni di Amazon EC2 Systems Manager in modo che SSM possa installare l'agente. CodeDeploy Questa politica non è necessaria se prevedi di installare l'agente dal bucket pubblico di Amazon S3 con la riga di comando. Ulteriori informazioni sull'[installazione dell'agente CodeDeploy ](https://docs.aws.amazon.com/codedeploy/latest/userguide/codedeploy-agent-operations-install.html).
```
aws iam attach-role-policy --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore --role-name CodeDeployDemo-EC2-Instance-Profile
```
1. Chiama il **create-instance-profile** comando seguito dal **add-role-to-instance-profile** comando per creare un profilo di istanza IAM denominato. **CodeDeployDemo-EC2-Instance-Profile** Il profilo dell'istanza consente ad Amazon EC2 di passare il ruolo IAM denominato **CodeDeployDemo-EC2-Instance-Profile** a un'istanza Amazon EC2 al primo avvio dell'istanza:
```
aws iam create-instance-profile --instance-profile-name CodeDeployDemo-EC2-Instance-Profile
aws iam add-role-to-instance-profile --instance-profile-name CodeDeployDemo-EC2-Instance-Profile --role-name CodeDeployDemo-EC2-Instance-Profile
```
*Se hai bisogno di ottenere il nome del profilo dell'istanza IAM, consulta [list-instance-profiles-for-role](https://docs.aws.amazon.com/cli/latest/reference/iam/list-instance-profiles-for-role.html) nella sezione IAM del Reference.AWS CLI *
Ora hai creato un profilo di istanza IAM da collegare alle tue istanze Amazon EC2. Per ulteriori informazioni, consulta [Ruoli IAM per Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) nella *Guida per l’utente di Amazon EC2*.
## Crea un profilo di istanza IAM per le tue istanze Amazon EC2 (console)
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. **Nella console IAM, nel riquadro di navigazione, scegli Policies, quindi scegli **Crea policy**.**
1. Nella pagina **Specifica autorizzazioni**, seleziona **JSON**.
1. Rimuovi il `JSON` codice di esempio.
1. Incolla il codice seguente:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:Get*",
"s3:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
**Nota**
Ti consigliamo di limitare questa politica solo ai bucket Amazon S3 a cui devono accedere le tue istanze Amazon EC2. Assicurati di consentire l'accesso ai bucket Amazon S3 che contengono l'agente. CodeDeploy In caso contrario, potrebbe verificarsi un errore quando l' CodeDeploy agente viene installato o aggiornato sulle istanze. Per concedere al profilo dell'istanza IAM l'accesso solo ad alcuni bucket del kit di CodeDeploy risorse in Amazon S3, utilizza la seguente policy, ma rimuovi le righe relative ai bucket a cui desideri impedire l'accesso:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::aws-codedeploy-us-east-2/*",
"arn:aws:s3:::aws-codedeploy-us-east-1/*",
"arn:aws:s3:::aws-codedeploy-us-west-1/*",
"arn:aws:s3:::aws-codedeploy-us-west-2/*",
"arn:aws:s3:::aws-codedeploy-ca-central-1/*",
"arn:aws:s3:::aws-codedeploy-eu-west-1/*",
"arn:aws:s3:::aws-codedeploy-eu-west-2/*",
"arn:aws:s3:::aws-codedeploy-eu-west-3/*",
"arn:aws:s3:::aws-codedeploy-eu-central-1/*",
"arn:aws:s3:::aws-codedeploy-eu-central-2/*",
"arn:aws:s3:::aws-codedeploy-eu-north-1/*",
"arn:aws:s3:::aws-codedeploy-eu-south-1/*",
"arn:aws:s3:::aws-codedeploy-eu-south-2/*",
"arn:aws:s3:::aws-codedeploy-il-central-1/*",
"arn:aws:s3:::aws-codedeploy-ap-east-1/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-1/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-2/*",
"arn:aws:s3:::aws-codedeploy-ap-northeast-3/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-1/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-2/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-3/*",
"arn:aws:s3:::aws-codedeploy-ap-southeast-4/*",
"arn:aws:s3:::aws-codedeploy-ap-south-1/*",
"arn:aws:s3:::aws-codedeploy-ap-south-2/*",
"arn:aws:s3:::aws-codedeploy-me-central-1/*",
"arn:aws:s3:::aws-codedeploy-me-south-1/*",
"arn:aws:s3:::aws-codedeploy-sa-east-1/*"
]
}
]
}
```
**Nota**
Se desideri utilizzare l'[autorizzazione IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-authorization) o gli endpoint Amazon Virtual Private Cloud (VPC) con CodeDeploy, dovrai aggiungere altre autorizzazioni. Per ulteriori informazioni, consulta [Utilizzo CodeDeploy con Amazon Virtual Private Cloud](https://docs.aws.amazon.com/codedeploy/latest/userguide/vpc-endpoints).
1. Scegli **Next (Successivo)**.
1. Nella pagina **Rivedi e crea**, nella casella **Nome della politica**, digita**CodeDeployDemo-EC2-Permissions**.
1. (Facoltativo) In **Description (Descrizione)** inserire una descrizione per la policy.
1. Scegli **Crea policy**.
1. Nel pannello di navigazione, scegli **Ruoli** e quindi **Crea ruolo**.
1. In Caso **d'uso, scegli il caso** d'uso **EC2**.
1. Scegli **Next (Successivo)**.
1. Nell'elenco delle politiche, seleziona la casella di controllo accanto alla policy che hai appena creato (**CodeDeployDemo-EC2-Permissions**). Se necessario, utilizzare la casella di ricerca per trovare la policy.
1. Per utilizzare Systems Manager per installare o configurare l' CodeDeploy agente, seleziona la casella di controllo accanto ad **Amazon SSMManaged InstanceCore**. Questa policy AWS gestita consente a un'istanza di utilizzare le funzionalità principali del servizio Systems Manager. Se necessario, utilizzare la casella di ricerca per trovare la policy. Questa politica non è necessaria se prevedi di installare l'agente dal bucket pubblico di Amazon S3 con la riga di comando. Ulteriori informazioni sull'[installazione dell'agente CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/codedeploy-agent-operations-install.html).
1. Scegli **Next (Successivo)**.
1. Nella pagina **Nome, revisione e creazione**, in **Nome ruolo**, inserisci un nome per il ruolo di servizio (ad esempio,**CodeDeployDemo-EC2-Instance-Profile**), quindi scegli **Crea** ruolo.
Puoi anche inserire una descrizione per questo ruolo di servizio nella **descrizione del ruolo**.
Ora hai creato un profilo di istanza IAM da collegare alle tue istanze Amazon EC2. Per ulteriori informazioni, consulta [Ruoli IAM per Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) nella *Guida per l’utente di Amazon EC2*.