Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione delle identità e degli accessi in AWS DataSync
AWS utilizza credenziali di sicurezza per identificarti e concederti l'accesso alle tue risorse. AWS Puoi utilizzare le funzionalità di AWS Identity and Access Management (IAM) per consentire ad altri utenti, servizi e applicazioni di utilizzare le tue AWS risorse completamente o in modo limitato, senza condividere le tue credenziali di sicurezza.
Per impostazione predefinita, le identità IAM (utenti, gruppi e ruoli) non dispongono dell'autorizzazione per creare, visualizzare o modificare le AWS risorse. Per consentire a utenti, gruppi e ruoli di accedere alle AWS DataSync risorse e interagire con la DataSync console e l'API, ti consigliamo di utilizzare una policy IAM che conceda loro l'autorizzazione a utilizzare le risorse e le azioni API specifiche di cui avranno bisogno. Quindi devi collegare la policy all'identità IAM che richiede l'accesso. Per una panoramica degli elementi di base di una policy, consulta [Gestione degli accessi per AWS DataSync](managing-access-overview.md).
**Topics**
+ [Gestione degli accessi per AWS DataSync](managing-access-overview.md)
+ [AWS politiche gestite per AWS DataSync](security-iam-awsmanpol.md)
+ [Policy gestite dai clienti IAM per AWS DataSync](using-identity-based-policies.md)
+ [Utilizzo di ruoli collegati ai servizi per DataSync](using-service-linked-roles.md)
+ [Autorizzazioni per l' DataSync etichettatura delle risorse durante la creazione](supported-iam-actions-tagging.md)
+ [Prevenzione del problema "confused deputy" tra servizi](cross-service-confused-deputy-prevention.md)
# Gestione degli accessi per AWS DataSync
Ogni AWS risorsa è di proprietà di un. Account AWS Le autorizzazioni per creare o accedere a una risorsa sono regolate dalle policy di autorizzazione. Un amministratore di account può allegare politiche di autorizzazione alle identità AWS Identity and Access Management (IAM). Alcuni servizi (ad esempio AWS Lambda) supportano anche l'associazione di politiche di autorizzazione alle risorse.
**Nota**
Un *amministratore di account* è un utente con privilegi di amministratore in un. Account AWS Per ulteriori informazioni, consultare la sezione [best practice IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente IAM*.
**Topics**
+ [DataSync risorse e operazioni](#access-control-specify-datasync-actions)
+ [Informazioni sulla proprietà delle risorse](#access-control-owner)
+ [Gestione dell'accesso alle risorse](#access-control-managing-permissions)
+ [Specifica degli elementi delle policy: operazioni, effetti, risorse ed entità](#policy-elements)
+ [Specifica delle condizioni in una policy](#specifying-conditions)
+ [Creazione di una policy per gli endpoint VPC](#endpoint-policy-example)
## DataSync risorse e operazioni
In DataSync, le risorse principali sono agente, ubicazione, attività ed esecuzione dell'attività.
A queste risorse sono associati Amazon Resource Names (ARNs) univoci, come illustrato nella tabella seguente.
| Tipo di risorsa | Formato ARN |
| --- | --- |
| ARN agente | `arn:aws:datasync:region:account-id:agent/agent-id` |
| ARN posizione | `arn:aws:datasync:region:account-id:location/location-id` |
| ARN attività | `arn:aws:datasync:region:account-id:task/task-id ` |
| ARN di esecuzione delle attività | `arn:aws:datasync:region:account-id:task/task-id/execution/exec-id` |
Per concedere le autorizzazioni per operazioni API specifiche, come la creazione di un'attività, DataSync definisce una serie di azioni che è possibile specificare in una politica di autorizzazioni. Un'operazione API può richiedere le autorizzazioni per più di un'operazione.
## Informazioni sulla proprietà delle risorse
*Il proprietario della risorsa* è colui Account AWS che ha creato la risorsa. Cioè, il proprietario Account AWS della risorsa è l'*entità principale* (ad esempio, un ruolo IAM) che autentica la richiesta che crea la risorsa. Gli esempi seguenti illustrano come funziona questo comportamento:
+ Se usi le credenziali dell'account root del tuo account Account AWS per creare un'attività, sei il proprietario della risorsa (in DataSync, la risorsa è l'attività). Account AWS
+ Se crei un ruolo IAM nel tuo Account AWS e concedi le autorizzazioni per l'`CreateTask`azione a quell'utente, l'utente può creare un'attività. Tuttavia Account AWS, la risorsa dell'attività è di proprietà dell'utente a cui appartiene.
+ Se crei un ruolo IAM Account AWS con le autorizzazioni necessarie per creare un'attività, chiunque possa assumere il ruolo può creare un'attività. Il tuo Account AWS, a cui appartiene il ruolo, possiede la risorsa dell'attività.
## Gestione dell'accesso alle risorse
La policy delle autorizzazioni descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.
**Nota**
Questa sezione illustra l'utilizzo di IAM nel contesto di DataSync. Non vengono fornite informazioni dettagliate sul servizio IAM. Per la documentazione di IAM completa, consulta la pagina [Che cos'è IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) nella *Guida per l'utente di IAM*. Per informazioni sulla sintassi e le descrizioni delle policy IAM, consulta il [riferimento alle AWS Identity and Access Management policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) nella *IAM User Guide*.
*Le politiche associate a un'identità IAM sono denominate politiche *basate sull'identità* (politiche IAM) e le politiche allegate a una risorsa sono denominate politiche basate sulle risorse.* DataSync supporta solo politiche basate sull'identità (politiche IAM).
**Topics**
+ [Policy basate sull’identità](#identity-based-policies)
+ [Policy basate sulle risorse](#resource-based-policies)
### Policy basate sull’identità
Puoi gestire l'accesso alle DataSync risorse con le policy IAM. Queste policy possono aiutare un Account AWS amministratore a fare quanto segue con DataSync:
+ **Concedi le autorizzazioni per creare e gestire DataSync risorse**: crea una policy IAM che consenta a un ruolo IAM Account AWS all'interno dell'azienda di creare e gestire DataSync risorse, come agenti, sedi e attività.
+ **Concedi le autorizzazioni a un ruolo in un altro Account AWS o in un** altro Servizio AWS: crea una policy IAM che conceda le autorizzazioni a un ruolo IAM in un altro o in un altro. Account AWS Servizio AWS Esempio:
1. L'amministratore dell'Account A crea un ruolo IAM e attribuisce una politica di autorizzazioni al ruolo che concede le autorizzazioni sulle risorse nell'Account A.
1. L'amministratore dell'Account A attribuisce una politica di fiducia al ruolo che identifica l'Account B come principale che può assumere il ruolo.
Per concedere l' Servizio AWS autorizzazione ad assumere il ruolo, l'amministratore dell'Account A può specificare un Servizio AWS come principale nella politica di fiducia.
1. L'amministratore dell'Account B può quindi delegare le autorizzazioni per assumere il ruolo a qualsiasi utente dell'Account B. Ciò consente a chiunque utilizzi il ruolo nell'Account B di creare o accedere alle risorse nell'Account A.
Per ulteriori informazioni sull'uso di IAM per delegare le autorizzazioni, consultare [Gestione degli accessi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) nella *Guida per l'utente di IAM*.
La politica di esempio seguente concede le autorizzazioni a tutte le azioni su tutte le risorse`List*`. Questa azione è di sola lettura e non consente la modifica delle risorse.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllListActionsOnAllResources",
"Effect": "Allow",
"Action": [
"datasync:List*"
],
"Resource": "*"
}
]
}
```
------
[Per ulteriori informazioni sull'utilizzo delle politiche basate sull'identità con DataSync, consulta le politiche gestite e le [politiche AWS gestite dai clienti](security-iam-awsmanpol.md).](using-identity-based-policies.md) [https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)
### Policy basate sulle risorse
Altri servizi, come Amazon S3, supportano politiche di autorizzazione basate sulle risorse. Ad esempio, è possibile associare una policy a un bucket Amazon S3 per gestire le autorizzazioni di accesso a quel bucket. Tuttavia, DataSync non supporta politiche basate sulle risorse.
## Specifica degli elementi delle policy: operazioni, effetti, risorse ed entità
[Per ogni DataSync risorsa, il servizio definisce una serie di operazioni API (vedi Azioni).](https://docs.aws.amazon.com/datasync/latest/userguide/API_Operations.html) Per concedere le autorizzazioni per queste operazioni API, DataSync definisce una serie di azioni che è possibile specificare in una politica. Ad esempio, per la DataSync risorsa, vengono definite le seguenti azioni:`CreateTask`,`DeleteTask`, e`DescribeTask`. L'esecuzione di un'operazione API può richiedere le autorizzazioni per più di un'operazione.
Di seguito sono elencati gli elementi di base di una policy:
+ **Risorsa**: in una policy si utilizza il nome della risorsa Amazon (ARN) per identificare la risorsa a cui si applica la policy stessa. Per le risorse DataSync, puoi utilizzare il carattere jolly `(*)` nelle policy IAM. Per ulteriori informazioni, consulta [DataSync risorse e operazioni](#access-control-specify-datasync-actions).
+ **Operazione**: utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare. Ad esempio, a seconda dell'`Effect`elemento specificato, l'`datasync:CreateTask`autorizzazione consente o nega all'utente le autorizzazioni per eseguire l' DataSync `CreateTask`operazione.
+ **Effetto**: si specifica l'effetto quando l'utente richiede l'azione specifica. Questo effetto può essere o. `Allow` `Deny` Se non concedi esplicitamente l'accesso a (`Allow`) una risorsa, l'accesso viene negato implicitamente. Puoi anche negare esplicitamente l'accesso a una risorsa, cosa che potresti fare per assicurarti che un utente non possa accedervi, anche se una politica diversa concede a quell'utente l'accesso. Per ulteriori informazioni, consulta [Authorization](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-authorization) nella *IAM* User Guide.
+ **Principale**: nelle policy basate su identità (policy IAM), l'utente a cui la policy è collegata è il principale implicito. Per le politiche basate sulle risorse, specifica l'utente, l'account, il servizio o l'altra entità a cui desideri ricevere le autorizzazioni (si applica solo alle politiche basate sulle risorse). DataSync non supporta politiche basate sulle risorse.
*Per ulteriori informazioni sulla sintassi e le descrizioni delle policy IAM, consulta il [riferimento alle AWS Identity and Access Management policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella IAM User Guide.*
## Specifica delle condizioni in una policy
Quando concedi le autorizzazioni, puoi usare il linguaggio delle policy IAM per specificare le condizioni in base alle quali applicare una policy. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni sulla specificazione delle condizioni nel linguaggio delle policy, consulta [Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) nella *IAM User Guide*.
Per esprimere le condizioni è necessario utilizzare chiavi di condizione predefinite. Non esistono chiavi di condizione specifiche per DataSync. Tuttavia, ci sono AWS ampi tasti di condizione che puoi usare a seconda delle esigenze. Per un elenco completo delle chiavi AWS ampie, consulta [Available keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) in the *IAM User Guide*.
## Creazione di una policy per gli endpoint VPC
Le policy degli endpoint VPC aiutano a controllare l'accesso alle operazioni delle DataSync API tramite endpoint di servizio e endpoint DataSync VPC di servizio VPC compatibili con FIPS. Le policy degli endpoint VPC consentono di limitare azioni DataSync API specifiche a cui si accede tramite gli endpoint VPC del servizio, come o. `CreateTask` `StartTaskExecution`
Una policy di endpoint specifica le informazioni riportate di seguito:
+ I principali che possono eseguire operazioni.
+ Le azioni che possono essere eseguite.
+ Le risorse sui cui si possono eseguire azioni.
Per ulteriori informazioni, consulta [Controllare l'accesso agli endpoint VPC utilizzando le policy degli endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html).
**Policy di esempio**
Di seguito è riportato un esempio di policy per gli endpoint.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"datasync:CreateTask",
"datasync:StartTaskExecution",
"datasync:DescribeTask"
],
"Resource": "arn:aws:datasync:us-east-1:123456789012:task/*"
}
]
}
```
# AWS politiche gestite per AWS DataSync
Per aggiungere autorizzazioni a utenti, gruppi e ruoli, è più facile utilizzare le policy AWS gestite che scriverle autonomamente. La [creazione di policy gestite dai clienti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) che forniscono al team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza. Per iniziare rapidamente, puoi utilizzare le nostre politiche AWS gestite. Queste policy coprono i casi d’uso comuni e sono disponibili nell’account Account AWS. Per ulteriori informazioni sulle policy AWS gestite, consulta le [policy AWS gestite](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *IAM User Guide*.
Servizi AWS mantenere e aggiornare le politiche AWS gestite. Non è possibile modificare le autorizzazioni nelle politiche AWS gestite. I servizi occasionalmente aggiungono altre autorizzazioni a una policy gestita da AWS per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino una policy gestita da AWS quando viene avviata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy AWS gestita, quindi gli aggiornamenti delle policy non comprometteranno le autorizzazioni esistenti.
Inoltre, AWS supporta politiche gestite per le funzioni lavorative che si estendono su più servizi. Ad esempio, la policy `ReadOnlyAccess` AWS gestita fornisce l'accesso in sola lettura a tutte le Servizi AWS risorse. Quando un servizio lancia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per l’elenco e la descrizione delle policy di funzione dei processi, consultare la sezione [Policy gestite da AWS per funzioni di processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
## AWS politica gestita: AWSDataSyncReadOnlyAccess
È possibile allegare la policy `AWSDataSyncReadOnlyAccess` alle identità IAM. Questa politica concede autorizzazioni di sola lettura per. DataSync
Per vedere le autorizzazioni per questa policy, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncReadOnlyAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## AWS politica gestita: AWSDataSyncFullAccess
È possibile allegare la policy `AWSDataSyncFullAccess` alle identità IAM. Questa politica concede le autorizzazioni amministrative DataSync ed è necessaria per Console di gestione AWS l'accesso al servizio. `AWSDataSyncFullAccess`fornisce l'accesso completo alle operazioni DataSync API e alle operazioni che interagiscono con le risorse correlate (come bucket Amazon S3, file system Amazon EFS, AWS KMS chiavi e segreti di Secrets Manager). La policy concede anche autorizzazioni per Amazon CloudWatch, tra cui la creazione di gruppi di log e la creazione o l'aggiornamento di una politica sulle risorse.
Per vedere le autorizzazioni per questa policy, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncFullAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## AWS politica gestita: AWSDataSyncServiceRolePolicy
Non puoi collegare la `AWSDataSyncServiceRolePolicy` policy alle tue identità IAM. Questa policy è associata a un ruolo collegato al servizio che consente di eseguire azioni DataSync per tuo conto. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per DataSync](using-service-linked-roles.md).
Questa politica concede autorizzazioni amministrative che consentono al ruolo collegato al servizio di creare CloudWatch log Amazon per le attività che utilizzano la modalità Enhanced. DataSync
## Aggiornamenti delle policy
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess)— Modifica | DataSync dichiarazioni di autorizzazione modificate per`AWSDataSyncFullAccess`: Le istruzioni aggiornate rimuovono le condizioni di etichettatura dai permessi DataSync utilizzati per creare segreti di Secrets Manager. | 13 maggio 2025 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess)— Modifica | DataSync ha aggiunto nuove autorizzazioni a`AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/datasync/latest/userguide/security-iam-awsmanpol.html) Queste autorizzazioni consentono di DataSync creare, modificare ed eliminare Gestione dei segreti AWS segreti. | 07 maggio 2025 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess)— Modifica | DataSync ha aggiunto nuove autorizzazioni a`AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/datasync/latest/userguide/security-iam-awsmanpol.html) Queste autorizzazioni consentono di DataSync recuperare i metadati relativi ai Gestione dei segreti AWS segreti e alle AWS KMS chiavi, inclusi eventuali alias associati alle chiavi. | 23 aprile 2025 |
| [AWSDataSyncServiceRolePolicy](#security-iam-awsmanpol-awsdatasyncservicerolepolicy)— Modifica | DataSync ha aggiunto nuove autorizzazioni alla `AWSDataSyncServiceRolePolicy` politica utilizzata dal ruolo collegato al DataSync servizio: `AWSServiceRoleForDataSync` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/datasync/latest/userguide/security-iam-awsmanpol.html) Queste autorizzazioni consentono di DataSync leggere i metadati e i valori per i segreti gestiti da. Gestione dei segreti AWS | 15 aprile 2025 |
| [AWSDataSyncServiceRolePolicy](#security-iam-awsmanpol-awsdatasyncservicerolepolicy): nuova policy | DataSync ha aggiunto una politica utilizzata dal ruolo collegato al DataSync servizio. `AWSServiceRoleForDataSync` Questa nuova policy gestita crea automaticamente CloudWatch i log Amazon per le tue DataSync attività che utilizzano la modalità Enhanced. | 30 ottobre 2024 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess)— Modifica | DataSync ha aggiunto una nuova autorizzazione a`AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/datasync/latest/userguide/security-iam-awsmanpol.html) Questa autorizzazione consente di DataSync creare per te ruoli collegati ai servizi. | 30 ottobre 2024 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess)— Modifica | DataSync ha aggiunto una nuova autorizzazione a`AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/datasync/latest/userguide/security-iam-awsmanpol.html) Questa autorizzazione consente di scegliere regioni opzionali quando si crea un' DataSync attività per i trasferimenti tra Regioni AWS. | 22 luglio 2024 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess)— Modifica | DataSync ha aggiunto una nuova autorizzazione a`AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/datasync/latest/userguide/security-iam-awsmanpol.html) Questa autorizzazione ti consente di scegliere una versione specifica del tuo [DataSync manifesto](transferring-with-manifest.md). | 16 febbraio 2024 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess)— Modifica | DataSync ha aggiunto nuove autorizzazioni a`AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/datasync/latest/userguide/security-iam-awsmanpol.html) Queste autorizzazioni ti aiutano a creare DataSync agenti e sedi per Amazon EFS, Amazon FSx for NetApp ONTAP, Amazon S3 e S3 on Outposts. | 2 maggio 2023 |
| DataSync ha iniziato a tenere traccia delle modifiche | DataSync ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 1° marzo 2021 |
# Policy gestite dai clienti IAM per AWS DataSync
Oltre alle policy AWS gestite, puoi anche creare policy personalizzate basate sull'identità AWS DataSync e collegarle alle identità AWS Identity and Access Management (IAM) che richiedono tali autorizzazioni. Queste sono note come *politiche gestite dai clienti, che sono politiche* autonome che puoi amministrare autonomamente. Account AWS
**Importante**
Prima di iniziare, ti consigliamo di conoscere i concetti e le opzioni di base per la gestione dell'accesso alle tue DataSync risorse. Per ulteriori informazioni, consulta [Gestione degli accessi per AWS DataSync](managing-access-overview.md).
Quando si crea una politica gestita dai clienti, si includono dichiarazioni sulle DataSync operazioni che possono essere utilizzate su determinate AWS risorse. La politica di esempio seguente contiene due istruzioni (notate gli `Resource` elementi `Action` e in ogni istruzione):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowsSpecifiedActionsOnAllTasks",
"Effect": "Allow",
"Action": "datasync:DescribeTask",
"Resource": "arn:aws:datasync:us-east-1:111122223333:task/*"
},
{
"Sid": "ListAllTasks",
"Effect": "Allow",
"Action": "datasync:ListTasks",
"Resource": "*"
}
]
}
```
------
Le dichiarazioni della politica fanno quanto segue:
+ La prima istruzione concede le autorizzazioni per eseguire l'`datasync:DescribeTask`azione su determinate risorse dell'attività di trasferimento specificando un Amazon Resource Name (ARN) con un carattere jolly (). `*`
+ La seconda istruzione concede le autorizzazioni per eseguire l'`datasync:ListTasks`azione su tutte le attività specificando solo un carattere jolly (). `*`
## Esempi di politiche gestite dai clienti
L'esempio seguente di politiche gestite dai clienti concedono autorizzazioni per varie DataSync operazioni. Le politiche funzionano se utilizzi AWS Command Line Interface (AWS CLI) o un AWS SDK. Per utilizzare queste politiche nella console, devi utilizzare anche la policy `AWSDataSyncFullAccess` gestita.
**Topics**
+ [Esempio 1: crea una relazione di fiducia che DataSync consenta di accedere al tuo bucket Amazon S3](#datasync-example1)
+ [Esempio 2: consenti DataSync di leggere e scrivere nel tuo bucket Amazon S3](#datasync-example2)
+ [Esempio 3: consenti di DataSync caricare i log in gruppi di log CloudWatch](#datasync-example4)
### Esempio 1: crea una relazione di fiducia che DataSync consenta di accedere al tuo bucket Amazon S3
Di seguito è riportato un esempio di policy di fiducia che consente di DataSync assumere un ruolo IAM. Questo ruolo consente di accedere DataSync a un bucket Amazon S3. Per evitare il [problema della confusione tra diversi servizi](cross-service-confused-deputy-prevention.md), consigliamo di utilizzare le chiavi di contesto [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)e di contesto della condizione [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale contenute nella policy.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datasync.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111111111111"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:datasync:us-east-1:111111111111:*"
}
}
}
]
}
```
------
### Esempio 2: consenti DataSync di leggere e scrivere nel tuo bucket Amazon S3
La seguente politica di esempio concede DataSync le autorizzazioni minime per leggere e scrivere dati su un bucket S3 utilizzato come posizione di destinazione.
**Nota**
Il valore per `aws:ResourceAccount` deve essere l'ID dell'account proprietario del bucket Amazon S3 specificato nella policy.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListBucketMultipartUploads"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
},
{
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetObjectVersionTagging",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:PutObjectTagging"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
}
]
}
```
### Esempio 3: consenti di DataSync caricare i log in gruppi di log CloudWatch
DataSync richiede le autorizzazioni per poter caricare i log nei tuoi gruppi di CloudWatch log Amazon. Puoi utilizzare i gruppi di CloudWatch log per monitorare ed eseguire il debug delle tue attività.
Per un esempio di policy IAM che concede tali autorizzazioni, vedi. [Consentire DataSync il caricamento dei log in un gruppo di CloudWatch log](configure-logging.md#cloudwatchlogs)
# Utilizzo di ruoli collegati ai servizi per DataSync
AWS DataSync utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. DataSync I ruoli collegati ai servizi sono predefiniti DataSync e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
**Topics**
+ [Utilizzo dei ruoli per DataSync](using-service-linked-roles-service-action-2.md)
# Utilizzo dei ruoli per DataSync
AWS DataSync utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. DataSync I ruoli collegati ai servizi sono predefiniti DataSync e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione DataSync perché non è necessario aggiungere manualmente le autorizzazioni necessarie. DataSync definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. DataSync Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun’altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. In questo modo proteggi DataSync le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
**Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta [AWS i servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi con **Sì** nella colonna Ruoli collegati ai servizi.** Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
## Autorizzazioni di ruolo collegate ai servizi per DataSync
DataSync utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForDataSync**: consente DataSync di eseguire operazioni essenziali per l'esecuzione delle attività di trasferimento, tra cui la lettura di informazioni segrete e la creazione CloudWatch di gruppi di Gestione dei segreti AWS log ed eventi.
Il ruolo AWSService RoleForDataSync collegato al servizio prevede che i seguenti servizi assumano il ruolo:
+ `datasync.amazonaws.com`
Il ruolo collegato al servizio utilizza la policy AWS gestita denominata [AWSDataSyncServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-awsdatasyncservicerolepolicy), che consente di DataSync completare le seguenti azioni sulle risorse specificate:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "DataSyncCloudWatchLogCreateAccess",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream"
],
"Resource": [
"arn:*:logs:*:*:log-group:/aws/datasync*"
]
},
{
"Sid": "DataSyncCloudWatchLogStreamUpdateAccess",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:*:logs:*:*:log-group:/aws/datasync*:log-stream:*"
]
},
{
"Sid": "DataSyncSecretsManagerReadAccess",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:*:secretsmanager:*:*:secret:aws-datasync!*"
],
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/aws:secretsmanager:owningService": "aws-datasync",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
Per consentire a utenti, gruppi o ruoli di creare, modificare o eliminare un ruolo orientato ai servizi, devi configurare le autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo collegato al servizio per DataSync
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un' DataSync attività nella Console di gestione AWS, la o nell' AWS API AWS CLI, DataSync crea automaticamente il ruolo collegato al servizio.
Nell'API AWS CLI o nell' AWS API, puoi creare un ruolo collegato al servizio con il nome del servizio. `datasync.amazonaws.com` Per ulteriori informazioni, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l’utente IAM*. Se elimini il ruolo collegato ai servizi, è possibile utilizzare lo stesso processo per crearlo nuovamente.
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando crei un' DataSync attività, DataSync crea nuovamente il ruolo collegato al servizio per te.
Se elimini questo ruolo collegato al servizio, puoi utilizzare lo stesso processo IAM per crearlo nuovamente.
## Modifica di un ruolo collegato al servizio per DataSync
DataSync non consente di modificare il ruolo collegato al AWSService RoleForDataSync servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per DataSync
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.
### Pulizia di un ruolo collegato ai servizi
Prima di utilizzare IAM; per eliminare un ruolo collegato al servizio, è necessario prima rimuovere qualsiasi risorsa utilizzata dal ruolo.
**Nota**
Se il DataSync servizio utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare DataSync le risorse utilizzate da AWSService RoleForDataSync**
1. [Eliminare gli DataSync agenti](clean-up.md#deleting-agent) utilizzati dall'attività (se presenti).
1. [Eliminare le posizioni dell'attività](clean-up.md#deleting-location).
1. [Eliminare l'attività](clean-up.md#delete-task).
### Eliminazione manuale del ruolo collegato ai servizi
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo AWSService RoleForDataSync collegato al servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per i ruoli collegati ai servizi DataSync
DataSync supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per maggiori informazioni, consulta [Regioni ed endpoint di AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Autorizzazioni per l' DataSync etichettatura delle risorse durante la creazione
Alcune azioni AWS DataSync API per la creazione di risorse consentono di specificare i tag quando si crea la risorsa. È possibile utilizzare i tag delle risorse per implementare il controllo degli accessi basato sugli attributi (ABAC). Per ulteriori informazioni, consulta A [cosa serve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l'utente di IAM*.
Per consentire agli utenti di etichettare le risorse al momento della creazione, devono disporre delle autorizzazioni per utilizzare l'azione che crea la risorsa (ad esempio `datasync:CreateAgent` o`datasync:CreateTask`). Se i tag sono specificati nell'azione di creazione della risorsa, gli utenti devono inoltre disporre di autorizzazioni esplicite per utilizzare l'azione. `datasync:TagResource`
L'operazione `datasync:TagResource` viene valutata solo se i tag vengono applicati durante l'operazione di creazione di risorse. Pertanto, un utente che dispone delle autorizzazioni per creare una risorsa (presupponendo che non vi siano condizioni di etichettatura) non richiede le autorizzazioni per utilizzare l'`datasync:TagResource`azione se nella richiesta non sono specificati tag.
Tuttavia, se l'utente tenta di creare una risorsa con tag, la richiesta fallisce se l'utente non dispone delle autorizzazioni per utilizzare l'azione. `datasync:TagResource`
## Esempi di dichiarazioni politiche IAM
Utilizza il seguente esempio di istruzioni politiche IAM per concedere `TagResource` autorizzazioni agli utenti che creano DataSync risorse.
La seguente istruzione consente agli utenti di taggare un DataSync agente quando lo creano.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:us-east-1:444455556666:agent/*"
}
]
}
```
------
L'istruzione seguente consente agli utenti di taggare una DataSync posizione quando la creano.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:us-east-1:111122223333:location/*"
}
]
}
```
------
L'istruzione seguente consente agli utenti di etichettare un' DataSync attività quando la creano.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:us-east-1:444455556666:task/*"
}
]
}
```
------
# Prevenzione del problema "confused deputy" tra servizi
Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel AWS, l'impersonificazione intersettoriale può portare al confuso problema del vice. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l’accesso alle risorse dell’account.
Si consiglia di utilizzare [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)le chiavi di contesto della condizione [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale nelle politiche delle risorse per limitare le autorizzazioni che AWS DataSync forniscono un altro servizio alla risorsa. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali e il valore `aws:SourceArn` contiene l'ID account, il valore `aws:SourceAccount` e l'account nel valore `aws:SourceArn` deve utilizzare lo stesso ID account nella stessa dichiarazione di policy. Utilizzare `aws:SourceArn` se si desidera consentire l'associazione di una sola risorsa all'accesso tra servizi. Utilizza `aws:SourceAccount` se desideri che qualsiasi risorsa in quell'account sia associata all'uso tra servizi.
Il valore di `aws:SourceArn` deve includere l'ARN della DataSync posizione con cui DataSync è consentito assumere il ruolo IAM.
Il modo più efficace per proteggersi dal confuso problema del vice è utilizzare la `aws:SourceArn` chiave con l'ARN completo della risorsa. Se non conosci l'ARN completo o se stai specificando più risorse, usa i caratteri jolly (`*`) per le parti sconosciute. Ecco alcuni esempi di come eseguire questa operazione per: DataSync
+ Per limitare la politica di attendibilità a una DataSync posizione esistente, includi l'ARN completo della posizione nella policy. DataSync assumerà il ruolo IAM solo quando avrà a che fare con quella particolare posizione.
+ Quando crei una sede Amazon S3 per DataSync, non conosci l'ARN della posizione. In questi scenari, usa il seguente formato per la `aws:SourceArn` chiave:. `arn:aws:datasync:us-east-2:123456789012:*` Questo formato convalida la partizione (`aws`), l'ID account e la regione.
L'esempio completo seguente mostra come è possibile utilizzare le chiavi di contesto `aws:SourceArn` e `aws:SourceAccount` global condition in una politica di fiducia per evitare il confuso problema del vice. DataSync
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datasync.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*"
}
}
}
]
}
```
------
Per ulteriori esempi di policy che mostrano come utilizzare `aws:SourceArn` le chiavi di contesto della condizione `aws:SourceAccount` globale con DataSync, consultate i seguenti argomenti:
+ [Crea una relazione di fiducia che DataSync consenta di accedere al tuo bucket Amazon S3](using-identity-based-policies.md#datasync-example1)
+ [Configura un ruolo IAM per accedere al tuo bucket Amazon S3](create-s3-location.md#create-role-manually)