AWS Data Pipeline non è più disponibile per i nuovi clienti. I clienti esistenti di AWS Data Pipeline possono continuare a utilizzare il servizio normalmente. [Ulteriori informazioni](https://aws.amazon.com/blogs/big-data/migrate-workloads-from-aws-data-pipeline/)
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Identity and Access Management per AWS Data Pipeline
Le credenziali di sicurezza identificano l'utente per i servizi su AWS e concedono le autorizzazione per utilizzare le risorse AWS, ad esempio le pipeline. Puoi utilizzare le funzionalità di AWS Data Pipeline and AWS Identity and Access Management (IAM) per consentire AWS Data Pipeline ad altri utenti di accedere alle tue AWS Data Pipeline risorse senza condividere le tue credenziali di sicurezza.
Le organizzazioni possono condividere l'accesso alle pipeline, in modo che i singoli utenti in quella organizzazione siano in grado di svilupparle e mantenerle in modo collaborativo. Tuttavia, per esempio, può essere necessario eseguire le operazioni seguenti:
+ Controlla quali utenti possono accedere a pipeline specifiche
+ Proteggere una pipeline di produzione per evitare che venga modificata per errore
+ Consentire a entità di controllo l'accesso in sola lettura alle pipeline, ma impedire loro di apportare modifiche
AWS Data Pipeline è integrato con AWS Identity and Access Management (IAM), che offre un'ampia gamma di funzionalità:
+ Crea utenti e gruppi nel tuo Account AWS.
+ Condividi facilmente AWS le tue risorse tra gli utenti del tuo Account AWS.
+ Assegna credenziali di sicurezza uniche a ciascun utente.
+ Controlla l'accesso di ogni utente ai servizi e alle risorse.
+ Ottieni una fattura unica per tutti gli utenti del tuo Account AWS.
Utilizzando IAM with AWS Data Pipeline, puoi controllare se gli utenti della tua organizzazione possono eseguire un'attività utilizzando azioni API specifiche e se possono utilizzare risorse AWS specifiche. Puoi utilizzare le policy IAM basate su tag di pipeline e gruppi di lavoro per condividere le tue pipeline con altri utenti e controllare il livello di accesso di cui dispongono.
**Topics**
+ [Politiche IAM per AWS Data Pipeline](dp-iam-resourcebased-access.md)
+ [Politiche di esempio per AWS Data Pipeline](dp-example-tag-policies.md)
+ [Ruoli IAM per AWS Data Pipeline](dp-iam-roles.md)
# Politiche IAM per AWS Data Pipeline
Per impostazione predefinita, le entità IAM non dispongono dell'autorizzazione per creare o modificare risorse AWS. Per consentire alle entità IAM di creare o modificare risorse ed eseguire attività, è necessario creare policy IAM che concedano alle entità IAM l'autorizzazione a utilizzare le risorse e le azioni API specifiche di cui avranno bisogno, e quindi collegare tali policy alle entità IAM che richiedono tali autorizzazioni.
Quando si collega una policy a un utente o a un gruppo di utenti, viene concessa o rifiutata agli utenti l'autorizzazione per l'esecuzione delle attività specificate sulle risorse specificate. Per informazioni generali sulle policy IAM, consulta [Permissions and Policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/PermissionsAndPolicies.html) nella *guida per l'utente IAM*. Per ulteriori informazioni sulla gestione e la creazione di policy IAM personalizzate, consulta la sezione relativa alla [gestione delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html).
**Topics**
+ [Sintassi delle policy](#dp-policy-syntax)
+ [Controllo degli accessi alle pipeline tramite i tag](#dp-control-access-tags)
+ [Controllo degli accessi alle pipeline tramite i gruppi di lavoratori](#dp-control-access-workergroup)
## Sintassi delle policy
Una policy IAM è un documento JSON costituito da una o più dichiarazioni. Ogni dichiarazione è strutturata come segue:
```
{
"Statement":[{
"Effect":"effect",
"Action":"action",
"Resource":"*",
"Condition":{
"condition":{
"key":"value"
}
}
}
]
}
```
Una dichiarazione di policy include i seguenti elementi:
+ **Effetto**: l'elemento *effect* può essere `Allow` o `Deny`. Per impostazione predefinita, le entità IAM non sono autorizzate a utilizzare risorse e azioni API, quindi tutte le richieste vengono rifiutate. Un permesso esplicito sostituisce l'impostazione predefinita. Un rifiuto esplicito sovrascrive tutti i consensi.
+ **Action** (Operazione): l'elemento *action* corrisponde all'operazione API specifica per la quale si concede o si nega l'autorizzazione. Per un elenco di azioni per AWS Data Pipeline, consulta [Actions](https://docs.aws.amazon.com/datapipeline/latest/APIReference/API_Operations.html) in the *AWS Data Pipeline API Reference*.
+ **Resource** (Risorsa): la risorsa che viene modificata dall'operazione. L'unico valore valido qui è `"*"`.
+ **Condition**: le condizioni sono facoltative. Possono essere utilizzate per controllare quando sarà in vigore una policy.
AWS Data Pipeline implementa le chiavi di contesto a livello di AWS (vedi [Available Keys for Conditions](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#AvailableKeys)), oltre alle seguenti chiavi specifiche del servizio.
+ `datapipeline:PipelineCreator`— Per concedere l'accesso all'utente che ha creato la pipeline. Per un esempio, vedi [Concedere al proprietario della pipeline l'accesso completo](dp-example-tag-policies.md#ex3).
+ `datapipeline:Tag`— Per concedere l'accesso in base all'etichettatura della pipeline. Per ulteriori informazioni, consulta [Controllo degli accessi alle pipeline tramite i tag](#dp-control-access-tags).
+ `datapipeline:workerGroup`— Concedere l'accesso in base al nome del gruppo di lavoro. Per ulteriori informazioni, consulta [Controllo degli accessi alle pipeline tramite i gruppi di lavoratori](#dp-control-access-workergroup).
## Controllo degli accessi alle pipeline tramite i tag
Puoi creare policy IAM che fanno riferimento ai tag della tua pipeline. In questo modo è possibile utilizzare l'applicazione di tag alle pipeline per eseguire quanto segue:
+ Concedere l'accesso in sola lettura a una pipeline
+ Concedi read/write l'accesso a una pipeline
+ Bloccare l'accesso a una pipeline
Ad esempio, supponiamo che un responsabile disponga di due ambienti di pipeline, produzione e sviluppo, e di un gruppo IAM per ogni ambiente. Per le pipeline nell'ambiente di produzione, il manager concede l' read/write accesso agli utenti del gruppo IAM di produzione, ma concede l'accesso in sola lettura agli utenti del gruppo IAM di sviluppo. Per le pipeline nell'ambiente di sviluppo, il manager concede l' read/write accesso sia al gruppo IAM di produzione che a quello di sviluppo.
Per realizzare questo scenario, il manager etichetta le pipeline di produzione con il tag «environment=production» e allega la seguente policy al gruppo IAM di sviluppatori. La prima istruzione concede l'accesso in sola lettura a tutte le pipeline. La seconda istruzione concede read/write l'accesso alle pipeline che non hanno un tag «environment=production».
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"datapipeline:Describe*",
"datapipeline:ListPipelines",
"datapipeline:GetPipelineDefinition",
"datapipeline:QueryObjects"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "datapipeline:*",
"Resource": "*",
"Condition": {
"StringNotEquals": {"datapipeline:Tag/environment": "production"}
}
}
]
}
```
------
Inoltre, il manager applica la seguente politica al gruppo IAM di produzione. Questa istruzione concede l'accesso completo a tutte le pipeline.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datapipeline:*",
"Resource": "*"
}
]
}
```
------
Per ulteriori esempi, vedi [Concessione agli utenti dell'accesso in sola lettura basato su un tag](dp-example-tag-policies.md#ex1) e [Concessione agli utenti dell'accesso completo basato su un tag](dp-example-tag-policies.md#ex2).
## Controllo degli accessi alle pipeline tramite i gruppi di lavoratori
È possibile creare policy IAM che facciano riferimento ai nomi dei gruppi di lavoro.
Ad esempio, supponiamo che un responsabile disponga di due ambienti di pipeline, produzione e sviluppo, e di un gruppo IAM per ogni ambiente. Il responsabile ha tre server di database con runner di attività configurati, rispettivamente, per gli ambienti di produzione, pre-produzione e sviluppo. Il manager desidera assicurarsi che gli utenti del gruppo IAM di produzione possano creare pipeline che trasferiscano le attività alle risorse di produzione e che gli utenti del gruppo IAM di sviluppo possano creare pipeline che trasferiscano le attività sia alle risorse di pre-produzione che a quelle degli sviluppatori.
Per ottenere questo scenario, il responsabile installa runner di attività sulle risorse di produzione con le credenziali relative e imposta `workerGroup` su "prodresource". Inoltre, il responsabile installa il runner delle attività sulle risorse di sviluppo con le credenziali di sviluppo e imposta `workerGroup` su "pre-produzione" e "sviluppo". Il manager attribuisce la seguente policy al gruppo IAM di sviluppatori per bloccare l'accesso alle risorse «prodresource». La prima istruzione concede l'accesso in sola lettura a tutte le pipeline. La seconda istruzione concede read/write l'accesso alle pipeline quando il nome del gruppo di lavoro ha il prefisso «dev» o «pre-prod».
Inoltre, il manager applica la seguente policy al gruppo IAM di produzione per concedere l'accesso alle risorse «prodresource». La prima istruzione concede l'accesso in sola lettura a tutte le pipeline. La seconda istruzione concede read/write l'accesso quando il nome del gruppo di lavoro ha il prefisso «prod».
# Politiche di esempio per AWS Data Pipeline
I seguenti esempi illustrano come concedere agli utenti accesso completo o limitato alle pipeline.
**Topics**
+ [Esempio 1: Concedere agli utenti accesso in sola lettura in base a un tag](#ex1)
+ [Esempio 2: Concedere agli utenti l'accesso completo in base a un tag](#ex2)
+ [Esempio 3: Concedere al proprietario della pipeline l'accesso completo](#ex3)
+ [Esempio 4: concedere agli utenti l'accesso alla console AWS Data Pipeline](#example4-grant-users-access-to-console)
## Esempio 1: Concedere agli utenti accesso in sola lettura in base a un tag
La seguente policy consente agli utenti di utilizzare le azioni AWS Data Pipeline API di sola lettura, ma solo con le pipeline che hanno il tag «environment=production».
L'azione ListPipelines API non supporta l'autorizzazione basata su tag.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"datapipeline:Describe*",
"datapipeline:GetPipelineDefinition",
"datapipeline:ValidatePipelineDefinition",
"datapipeline:QueryObjects"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"datapipeline:Tag/environment": "production"
}
}
}
]
}
```
------
## Esempio 2: Concedere agli utenti l'accesso completo in base a un tag
La seguente politica consente agli utenti di utilizzare tutte le azioni AWS Data Pipeline API, ad eccezione di ListPipelines, ma solo con, le pipeline con il tag «environment=test».
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"datapipeline:*"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"datapipeline:Tag/environment": "test"
}
}
}
]
}
```
------
## Esempio 3: Concedere al proprietario della pipeline l'accesso completo
La seguente politica consente agli utenti di utilizzare tutte le azioni AWS Data Pipeline API, ma solo con le proprie pipeline.
## Esempio 4: concedere agli utenti l'accesso alla console AWS Data Pipeline
La policy seguente consente agli utenti di creare e gestire una pipeline utilizzando la console AWS Data Pipeline .
Questa politica include l'azione per `PassRole` le autorizzazioni per risorse specifiche legate a `roleARN` tali AWS Data Pipeline esigenze. Per ulteriori informazioni sull'autorizzazione basata sull'identità (IAM), consulta il post del blog [Granting `PassRole` Permission to Launch EC2 Instances with IAM Roles (Permission](https://aws.amazon.com/blogs/security/granting-permission-to-launch-ec2-instances-with-iam-roles-passrole-permission/)). PassRole
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"cloudwatch:*",
"datapipeline:*",
"dynamodb:DescribeTable",
"elasticmapreduce:AddJobFlowSteps",
"elasticmapreduce:ListInstance*",
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:GetInstanceProfile",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:ListInstanceProfiles",
"iam:ListInstanceProfilesForRole",
"iam:ListRoles",
"rds:DescribeDBInstances",
"rds:DescribeDBSecurityGroups",
"redshift:DescribeClusters",
"redshift:DescribeClusterSecurityGroups",
"s3:List*",
"sns:ListTopics"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Action": "iam:PassRole",
"Effect": "Allow",
"Resource": [
"arn:aws:iam::*:role/DataPipelineDefaultResourceRole",
"arn:aws:iam::*:role/DataPipelineDefaultRole"
]
}
]
}
```
------
# Ruoli IAM per AWS Data Pipeline
AWS Data Pipeline utilizza AWS Identity and Access Management ruoli. Le politiche di autorizzazione associate ai ruoli IAM determinano quali azioni AWS Data Pipeline e applicazioni possono eseguire e a quali AWS risorse possono accedere. Per ulteriori informazioni, consulta [Ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) nella *Guida per l'utente IAM*.
AWS Data Pipeline richiede due ruoli IAM:
+ **Il ruolo pipeline** controlla AWS Data Pipeline l'accesso alle tue risorse AWS. Nelle definizioni degli oggetti della pipeline, il `role` campo specifica questo ruolo.
+ **Il ruolo dell'istanza EC2** controlla l'accesso delle applicazioni in esecuzione su istanze EC2, incluse le istanze EC2 nei cluster Amazon EMR, alle risorse. AWS Nelle definizioni degli oggetti della pipeline, il campo specifica questo ruolo. `resourceRole`
**Importante**
Se hai creato una pipeline prima del 3 ottobre 2022 utilizzando la AWS Data Pipeline console con ruoli predefiniti, l'hai AWS Data Pipeline creata `DataPipelineDefaultRole` per te e ha allegato la politica `AWSDataPipelineRole` gestita al ruolo. A partire dal 3 ottobre 2022, la policy `AWSDataPipelineRole` gestita è obsoleta e il ruolo della pipeline deve essere specificato per una pipeline quando si utilizza la console.
Ti consigliamo di esaminare le pipeline esistenti e determinare se è associata alla pipeline e se `DataPipelineDefaultRole` è associata a quel ruolo. `AWSDataPipelineRole` In tal caso, esamina l'accesso consentito da questa politica per assicurarti che sia appropriato per i tuoi requisiti di sicurezza. Aggiungi, aggiorna o sostituisci le politiche e le dichiarazioni politiche allegate a questo ruolo, se necessario. In alternativa, puoi aggiornare una pipeline per utilizzare un ruolo creato con politiche di autorizzazione diverse.
## Esempi di politiche di autorizzazione per i ruoli AWS Data Pipeline
A ogni ruolo sono associate una o più politiche di autorizzazione che determinano AWS le risorse a cui il ruolo può accedere e le azioni che il ruolo può eseguire. Questo argomento fornisce un esempio di politica di autorizzazione per il ruolo pipeline. Fornisce inoltre il contenuto di`AmazonEC2RoleforDataPipelineRole`, che è la politica gestita per il ruolo predefinito dell'istanza EC2,. `DataPipelineDefaultResourceRole`
### Esempio di politica di autorizzazione dei ruoli Pipeline
La policy di esempio che segue ha lo scopo di consentire funzioni essenziali che AWS Data Pipeline richiedono l'esecuzione di una pipeline con risorse Amazon EC2 e Amazon EMR. Fornisce inoltre le autorizzazioni per accedere ad altre AWS risorse, come Amazon Simple Storage Service e Amazon Simple Notification Service, richieste da molte pipeline. Se gli oggetti definiti in una pipeline non richiedono le risorse di un AWS servizio, ti consigliamo vivamente di rimuovere le autorizzazioni per accedere a quel servizio. Ad esempio, se la pipeline non definisce un'azione [DBDataNodo Dynamo](dp-object-dynamodbdatanode.md) o non utilizza l'[SnsAlarm](dp-object-snsalarm.md)azione, si consiglia di rimuovere le istruzioni allow per tali azioni.
+ `111122223333`Sostituiscilo con l'ID AWS del tuo account.
+ Sostituiscilo `NameOfDataPipelineRole` con il nome del ruolo della pipeline (il ruolo a cui è associata questa policy).
+ Sostituisci `NameOfDataPipelineResourceRole` con il nome del ruolo dell'istanza EC2.
+ `us-west-1`Sostituiscilo con la regione appropriata per la tua applicazione.
### Politica gestita predefinita per il ruolo dell'istanza EC2
Il contenuto di `AmazonEC2RoleforDataPipelineRole` è illustrato di seguito. Questa è la politica gestita allegata al ruolo di risorsa predefinito per AWS Data Pipeline,`DataPipelineDefaultResourceRole`. Quando definisci un ruolo di risorsa per la tua pipeline, ti consigliamo di iniziare con questa politica di autorizzazioni e quindi di rimuovere le autorizzazioni per le azioni di AWS servizio che non sono richieste.
Viene mostrata la versione 3 della policy, che è la versione più recente al momento della stesura di questo documento. Visualizza la versione più recente della policy utilizzando la console IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"cloudwatch:*",
"datapipeline:*",
"dynamodb:*",
"ec2:Describe*",
"elasticmapreduce:AddJobFlowSteps",
"elasticmapreduce:Describe*",
"elasticmapreduce:ListInstance*",
"elasticmapreduce:ModifyInstanceGroups",
"rds:Describe*",
"redshift:DescribeClusters",
"redshift:DescribeClusterSecurityGroups",
"s3:*",
"sdb:*",
"sns:*",
"sqs:*"
],
"Resource": ["*"]
}]
}
```
------
## Creazione di ruoli IAM per AWS Data Pipeline e modifica delle autorizzazioni dei ruoli
Utilizza le seguenti procedure per creare ruoli per l' AWS Data Pipeline utilizzo della console IAM. Il processo consiste in due fasi. Innanzitutto, crei una politica di autorizzazioni da associare al ruolo. Successivamente, si crea il ruolo e si allega la politica. Dopo aver creato un ruolo, puoi modificare le autorizzazioni del ruolo allegando e scollegando le politiche di autorizzazione.
**Nota**
Quando crei ruoli per l' AWS Data Pipeline utilizzo della console come descritto di seguito, IAM crea e allega le politiche di fiducia appropriate richieste dal ruolo.
**Per creare una politica di autorizzazioni da utilizzare con un ruolo per AWS Data Pipeline**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel pannello di navigazione, scegliere **Policies (Policy)** e **Create Policy (Crea policy)**.
1. Scegli la scheda **JSON**.
1. Se state creando un ruolo di pipeline, copiate e incollate il contenuto dell'esempio di policy in[Esempio di politica di autorizzazione dei ruoli Pipeline](#dp-role-example-policy), modificandolo in base ai vostri requisiti di sicurezza. In alternativa, se stai creando un ruolo di istanza EC2 personalizzato, fai lo stesso per l'esempio in. [Politica gestita predefinita per il ruolo dell'istanza EC2](#dp-resource-role-example-policy)
1. Scegliere **Esamina policy**.
1. **Inserisci un nome per la politica, ad esempio, `MyDataPipelineRolePolicy` e una **descrizione** opzionale, quindi scegli Crea politica.**
1. Annota il nome della politica. Ne hai bisogno quando crei il tuo ruolo.
**Per creare un ruolo IAM per AWS Data Pipeline**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, scegli **Ruoli**, quindi scegli **Crea ruolo**.
1. In **Scegli un caso d'uso**, scegli **Data Pipeline**.
1. In **Seleziona il tuo caso d'uso**, esegui una delle seguenti operazioni:
+ Scegliete `Data Pipeline` di creare un ruolo di pipeline.
+ Scegli `EC2 Role for Data Pipeline` di creare un ruolo di risorsa.
1. Scegli **Successivo: autorizzazioni**.
1. Se AWS Data Pipeline è elencato il criterio predefinito per, procedi con i seguenti passaggi per creare il ruolo, quindi modificalo in base alle istruzioni della procedura successiva. In caso contrario, immettete il nome della politica creata nella procedura precedente, quindi selezionatela dall'elenco.
1. Scegliete **Avanti: tag**, inserite i tag da aggiungere al ruolo, quindi scegliete **Avanti: revisione**.
1. **Inserisci un nome per il ruolo, ad esempio, `MyDataPipelineRole` e una **Descrizione** facoltativa, quindi scegli Crea ruolo.**
**Per allegare o scollegare una politica di autorizzazioni per un ruolo IAM per AWS Data Pipeline**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. **Nel riquadro di navigazione, scegli Ruoli**
1. Nella casella di ricerca, inizia a digitare il nome del ruolo che desideri modificare, ad esempio **DataPipelineDefaultRole**o, **MyDataPipelineRole**e quindi scegli il **nome del ruolo dall'elenco**.
1. Nella scheda **Autorizzazioni**, procedi come segue:
+ Per scollegare un criterio di autorizzazione, in **Criteri di autorizzazione**, scegli il pulsante di rimozione all'estrema destra della voce del criterio. Scegli Scollega quando **ti viene richiesto di** confermare.
+ Per allegare una politica creata in precedenza, scegli **Allega** politiche. Nella casella di ricerca, inizia a digitare il nome della politica che desideri modificare, selezionala dall'elenco, quindi scegli **Allega politica**.
## Modifica dei ruoli per una pipeline esistente
Se desideri assegnare un ruolo di pipeline o un ruolo di risorsa diverso a una pipeline, puoi utilizzare l'editor di architettura nella console. AWS Data Pipeline
**Per modificare i ruoli assegnati a una pipeline utilizzando la console**
1. Apri la AWS Data Pipeline console all'indirizzo [https://console.aws.amazon.com/datapipeline/](https://console.aws.amazon.com/datapipeline/).
1. Seleziona la pipeline dall'elenco, quindi scegli **Azioni**, **Modifica**.
1. Nel riquadro destro dell'editor dell'architetto, scegli **Altri.**
1. Dagli elenchi ****Ruolo** risorsa** e Ruolo, scegli i ruoli AWS Data Pipeline che desideri assegnare, quindi scegli **Salva**.