Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Identity and Access Management per Amazon DevOps Guru
AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato (disporre delle autorizzazioni*) a utilizzare le risorse Guru. DevOps IAM è uno strumento Servizio AWS che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [DevOpsGuru aggiorna le politiche AWS gestite e il ruolo collegato ai servizi](#security-iam-awsmanpol-updates)
+ [Come funziona Amazon DevOps Guru con IAM](security_iam_service-with-iam.md)
+ [Politiche basate sull'identità per Amazon Guru DevOps](security_iam_id-based-policy-examples.md)
+ [Utilizzo di ruoli collegati ai servizi per Guru DevOps](using-service-linked-roles.md)
+ [Riferimento alle autorizzazioni di Amazon DevOps Guru](auth-and-access-control-permissions-reference.md)
+ [Autorizzazioni per argomenti di Amazon SNS](sns-required-permissions.md)
+ [Autorizzazioni per argomenti AWS KMS Amazon SNS crittografati](sns-kms-permissions.md)
+ [Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon DevOps Guru](security_iam_troubleshoot.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon DevOps Guru](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come funziona Amazon DevOps Guru con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Politiche basate sull'identità per Amazon Guru DevOps](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*.
### Identità federata
Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
## DevOpsGuru aggiorna le politiche AWS gestite e il ruolo collegato ai servizi
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite e al ruolo collegato ai servizi per DevOps Guru da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS di Guru. DevOps [Cronologia dei documenti Amazon DevOps Guru](doc-history.md)
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AmazonDevOpsGuruConsoleFullAccess](security_iam_id-based-policy-examples.md#managed-full-console-access): aggiorna a una policy esistente. | La policy AmazonDevOpsGuruFullAccess gestita ora supporta gli abbonamenti Amazon SNS. | 9 agosto 2023 |
| [AmazonDevOpsGuruReadOnlyAccess](security_iam_id-based-policy-examples.md#managed-read-only-access): aggiornamento di una policy esistente | La policy AmazonDevOpsGuruReadOnlyAccess gestita ora supporta l'accesso in sola lettura agli elenchi di abbonamenti Amazon SNS. | 9 agosto 2023 |
| [AmazonDevOpsGuruServiceRolePolicy](https://docs.aws.amazon.com/devops-guru/latest/userguide/using-service-linked-roles.html#slr-permissions): aggiorna a una policy esistente. | Il ruolo AWSServiceRoleForDevOpsGuru collegato al servizio ora supporta l'accesso alle azioni GET di API Gateway su REST. APIs | 11 gennaio 2023 |
| [AmazonDevOpsGuruServiceRolePolicy](https://docs.aws.amazon.com/devops-guru/latest/userguide/using-service-linked-roles.html#slr-permissions): aggiorna a una policy esistente. | Il ruolo AWSServiceRoleForDevOpsGuru collegato al servizio ora supporta diverse azioni di Amazon Simple Storage Service e Service Quotas. | 19 ottobre 2022 |
| [AmazonDevOpsGuruFullAccess](security_iam_id-based-policy-examples.md#managed-full-access): aggiornamento di una policy esistente | La policy gestita di AmazonDevOpsGuruFullAccess ora supporta l'accesso all'azione. CloudWatch `FilterLogEvents` | 30 agosto 2022 |
| [AmazonDevOpsGuruConsoleFullAccess](security_iam_id-based-policy-examples.md#managed-full-console-access): aggiornamento di una policy esistente | La policy `AmazonDevOpsGuruConsoleFullAccess` gestita ora supporta l'accesso all' CloudWatch`FilterLogEvents`azione. | 30 agosto 2022 |
| [AmazonDevOpsGuruReadOnlyAccess](security_iam_id-based-policy-examples.md#managed-read-only-access): aggiornamento di una policy esistente | La policy AmazonDevOpsGuruReadOnlyAccess gestita ora supporta l'accesso in sola lettura all'azione CloudWatch FilterLogEvents. | 30 agosto 2022 |
| [AmazonDevOpsGuruServiceRolePolicy](https://docs.aws.amazon.com/devops-guru/latest/userguide/using-service-linked-roles.html#slr-permissions): aggiorna a una policy esistente. | Il ruolo `AWSServiceRoleForDevOpsGuru` collegato al servizio ora supporta le azioni di CloudWatch registro e. `FilterLogEvents` `DescribeLogGroups` `DescribeLogStreams` | 12 luglio 2022 |
| [Politiche basate sull'identità per DevOps Guru: nuova politica gestita](https://docs.aws.amazon.com/devops-guru/latest/userguide/security_iam_id-based-policy-examples.html#managed-full-access). | La `AmazonDevOpsGuruConsoleFullAccess` politica è stata aggiunta. | 16 dicembre 2021 |
| [AmazonDevOpsGuruServiceRolePolicy](https://docs.aws.amazon.com/devops-guru/latest/userguide/using-service-linked-roles.html#slr-permissions): aggiorna a una policy esistente. | Il ruolo `AWSServiceRoleForDevOpsGuru` collegato al servizio ora supporta le azioni Performance Insights `DescribeMetricsKeys` e Amazon `DescribeDBInstances` RDS. | 1° dicembre 2021 |
| [AmazonDevOpsGuruReadOnlyAccess](security_iam_id-based-policy-examples.md#managed-read-only-access): aggiornamento di una policy esistente | La policy `AmazonDevOpsGuruReadOnlyAccess` gestita ora supporta l'accesso in sola lettura alle azioni di Amazon `DescribeDBInstances` RDS. | 1° dicembre 2021 |
| [AmazonDevOpsGuruFullAccess](security_iam_id-based-policy-examples.md#managed-full-access): aggiornamento di una policy esistente | La policy `AmazonDevOpsGuruFullAccess` gestita ora supporta l'accesso alle `DescribeDBInstances` azioni di Amazon RDS. | 1° dicembre 2021 |
| [Politiche basate sull'identità per Amazon Guru DevOps](security_iam_id-based-policy-examples.md)— Aggiunta una nuova policy. | Il ruolo `AWSServiceRoleForDevOpsGuru` collegato al servizio ora supporta l'accesso alle azioni di Amazon RDS e Performance `DescribeDBInstances` Insights. `GetResourceMetrics` La policy `AmazonDevOpsGuruOrganizationsAccess` gestita fornisce l'accesso a DevOps Guru all'interno di un'organizzazione. | 16 novembre 2021 |
| [AmazonDevOpsGuruServiceRolePolicy](https://docs.aws.amazon.com/devops-guru/latest/userguide/using-service-linked-roles.html#slr-permissions): aggiorna a una policy esistente. | Il ruolo `AWSServiceRoleForDevOpsGuru` collegato ai servizi ora supporta AWS Organizations. | 4 novembre 2021 |
| [AmazonDevOpsGuruServiceRolePolicy](https://docs.aws.amazon.com/devops-guru/latest/userguide/using-service-linked-roles.html#slr-permissions): aggiorna a una policy esistente. | Il ruolo `AWSServiceRoleForDevOpsGuru` collegato ai servizi ora contiene nuove condizioni sulle azioni e. `ssm:CreateOpsItem` `ssm:AddTagsToResource` | 11 ottobre 2021 |
| [Autorizzazioni di ruolo collegate al servizio per Guru DevOps](using-service-linked-roles.md#slr-permissions): aggiorna a una policy esistente. | Il ruolo `AWSServiceRoleForDevOpsGuru` collegato al servizio ora contiene nuove condizioni sulle azioni e. `ssm:CreateOpsItem` `ssm:AddTagsToResource` | 14 giugno 2021 |
| [AmazonDevOpsGuruReadOnlyAccess](security_iam_id-based-policy-examples.md#managed-read-only-access): aggiornamento di una policy esistente | La policy `AmazonDevOpsGuruReadOnlyAccess` gestita ora consente l'accesso in sola lettura alle azioni AWS Identity and Access Management `GetRole` e alle azioni Guru. DevOps `DescribeFeedback` | 14 giugno 2021 |
| [AmazonDevOpsGuruReadOnlyAccess](security_iam_id-based-policy-examples.md#managed-read-only-access): aggiornamento di una policy esistente | La policy `AmazonDevOpsGuruReadOnlyAccess` gestita ora consente l'accesso in sola lettura al Guru e alle azioni. DevOps `GetCostEstimation` `StartCostEstimation` | 27 aprile 2021 |
| [AmazonDevOpsGuruServiceRolePolicy](https://docs.aws.amazon.com/devops-guru/latest/userguide/using-service-linked-roles.html#slr-permissions): aggiorna a una policy esistente. | Il `AWSServiceRoleForDevOpsGuru` ruolo ora consente l'accesso alle azioni AWS Systems Manager `AddTagsToResource` e ad Amazon EC2 `DescribeAutoScalingGroups` Auto Scaling. | 27 aprile 2021 |
| DevOpsGuru ha iniziato a tracciare le modifiche | DevOpsGuru ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 10 dicembre 2020 |
# Come funziona Amazon DevOps Guru con IAM
Prima di utilizzare IAM per gestire l'accesso a DevOps Guru, scopri quali funzionalità IAM sono disponibili per l'uso con DevOps Guru.
**Funzionalità IAM che puoi usare con Amazon DevOps Guru**
| Funzionalità IAM | DevOpsSupporto Guru |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies) | No |
| [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources) | Sì |
| [Chiavi di condizione delle policy](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sì |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags) | No |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Autorizzazioni del principale](#security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-roles-service) | No |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | Sì |
*Per avere una visione generale di come DevOps Guru e altri AWS servizi funzionano con la maggior parte delle funzionalità IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) User Guide.*
## Politiche basate sull'identità per Guru DevOps
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
### Esempi di politiche basate sull'identità per Guru DevOps
Per visualizzare esempi di politiche basate sull'identità di DevOps Guru, vedi. [Politiche basate sull'identità per Amazon Guru DevOps](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse all'interno di Guru DevOps
**Supporta le policy basate su risorse:** no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Azioni politiche per Guru DevOps
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Per visualizzare un elenco delle azioni DevOps Guru, consulta [Azioni definite da Amazon DevOps Guru](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondevopsguru.html#amazondevopsguru-actions-as-permissions) nel *Service Authorization* Reference.
Le azioni politiche in DevOps Guru utilizzano il seguente prefisso prima dell'azione:
```
aws
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"aws:action1",
"aws:action2"
]
```
Per visualizzare esempi di politiche basate sull'identità di DevOps Guru, consulta. [Politiche basate sull'identità per Amazon Guru DevOps](security_iam_id-based-policy-examples.md)
## Risorse politiche per Guru DevOps
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Per visualizzare un elenco dei tipi di risorse DevOps Guru e relativi ARNs, consulta [Resources defined by Amazon DevOps Guru](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondevopsguru.html#amazondevopsguru-resources-for-iam-policies) nel *Service Authorization* Reference. Per sapere con quali azioni puoi specificare l'ARN di ogni risorsa, consulta [Azioni definite da Amazon DevOps](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondevopsguru.html#amazondevopsguru-actions-as-permissions) Guru.
Per visualizzare esempi di politiche basate sull'identità di DevOps Guru, consulta. [Politiche basate sull'identità per Amazon Guru DevOps](security_iam_id-based-policy-examples.md)
## Chiavi relative alle condizioni delle policy per Guru DevOps
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Per visualizzare un elenco di chiavi di condizione DevOps Guru, consulta [Condition keys for Amazon DevOps Guru](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondevopsguru.html#amazondevopsguru-policy-keys) nel *Service Authorization* Reference. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, consulta [Azioni definite da Amazon DevOps Guru](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondevopsguru.html#amazondevopsguru-actions-as-permissions).
Per visualizzare esempi di politiche basate sull'identità di DevOps Guru, consulta. [Politiche basate sull'identità per Amazon Guru DevOps](security_iam_id-based-policy-examples.md)
## Accedi agli elenchi di controllo () in Guru ACLs DevOps
**Supporti ACLs: No**
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## Controllo degli accessi basato sugli attributi (ABAC) con Guru DevOps
**Supporta ABAC (tag nelle policy):** No
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base ad attributi chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
## Utilizzo di credenziali temporanee con Guru DevOps
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono un accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Autorizzazioni principali multiservizio per Guru DevOps
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso diretto (FAS) utilizzano le autorizzazioni del principale chiamante an Servizio AWS, combinate con la richiesta di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli di servizio per Guru DevOps
**Supporta i ruoli di servizio:** no
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio potrebbe interrompere la funzionalità di DevOps Guru. Modifica i ruoli di servizio solo quando DevOps Guru fornisce indicazioni in tal senso.
## Ruoli collegati ai servizi per Guru DevOps
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per ulteriori informazioni su come creare e gestire i ruoli collegati ai servizi, consulta [Servizi AWS supportati da IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova un servizio nella tabella che include un `Yes` nella colonna **Service-linked role (Ruolo collegato ai servizi)**. Scegli il collegamento **Sì** per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
# Politiche basate sull'identità per Amazon Guru DevOps
Per impostazione predefinita, gli utenti e i ruoli non sono autorizzati a creare o modificare le risorse Guru. DevOps Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per dettagli sulle azioni e sui tipi di risorse definiti da DevOps Guru, incluso il formato di ARNs per ogni tipo di risorsa, consulta [Azioni, risorse e chiavi di condizione per Amazon DevOps Guru](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html) nel *Service Authorization* Reference.
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console Guru DevOps](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Policy AWS gestite (predefinite) per DevOps Guru](#managed-policies)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse DevOps Guru nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console Guru DevOps
Per accedere alla console Amazon DevOps Guru, devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse DevOps Guru presenti nel tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l'API. AWS Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Per garantire che utenti e ruoli possano ancora utilizzare la console DevOps Guru, collega anche il DevOps Guru `AmazonDevOpsGuruReadOnlyAccess` o la policy `AmazonDevOpsGuruFullAccess` AWS gestita alle entità. Per maggiori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente di IAM*.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa policy include le autorizzazioni per completare questa azione sulla console o utilizzando programmaticamente l'API o. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Policy AWS gestite (predefinite) per DevOps Guru
AWS affronta molti casi d'uso comuni fornendo policy IAM autonome create e amministrate da. AWS Queste policy AWS gestite concedono le autorizzazioni necessarie per i casi d'uso comuni, in modo da evitare di dover verificare quali autorizzazioni sono necessarie. Per ulteriori informazioni, consulta [Policy gestite AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per gli utenti di IAM*.
Per creare e gestire i ruoli del servizio DevOps Guru, devi anche allegare la policy -managed denominata AWS. `IAMFullAccess`
Puoi anche creare le tue policy IAM personalizzate per consentire le autorizzazioni per le azioni e le risorse di DevOps Guru. Puoi collegare queste policy personalizzate agli utenti o ai gruppi che richiedono le autorizzazioni.
Le seguenti politiche AWS gestite, che puoi allegare agli utenti del tuo account, sono specifiche di Guru. DevOps
**Topics**
+ [AmazonDevOpsGuruFullAccess](#managed-full-access)
+ [AmazonDevOpsGuruConsoleFullAccess](#managed-full-console-access)
+ [AmazonDevOpsGuruReadOnlyAccess](#managed-read-only-access)
+ [AmazonDevOpsGuruOrganizationsAccess](#organizations-policy)
### AmazonDevOpsGuruFullAccess
`AmazonDevOpsGuruFullAccess`— Fornisce l'accesso completo a DevOps Guru, incluse le autorizzazioni per creare argomenti Amazon SNS, accedere ai parametri di CloudWatch Amazon e agli stack di accesso. AWS CloudFormation Applicalo solo agli utenti di livello amministrativo a cui desideri concedere il pieno controllo su Guru. DevOps
La `AmazonDevOpsGuruFullAccess` politica contiene la seguente dichiarazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DevOpsGuruFullAccess",
"Effect": "Allow",
"Action": [
"devops-guru:*"
],
"Resource": "*"
},
{
"Sid": "CloudFormationListStacksAccess",
"Effect": "Allow",
"Action": [
"cloudformation:DescribeStacks",
"cloudformation:ListStacks"
],
"Resource": "*"
},
{
"Sid": "CloudWatchGetMetricDataAccess",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData"
],
"Resource": "*"
},
{
"Sid": "SnsListTopicsAccess",
"Effect": "Allow",
"Action": [
"sns:ListTopics",
"sns:ListSubscriptionsByTopic"
],
"Resource": "*"
},
{
"Sid": "SnsTopicOperations",
"Effect": "Allow",
"Action": [
"sns:CreateTopic",
"sns:GetTopicAttributes",
"sns:SetTopicAttributes",
"sns:Subscribe",
"sns:Publish"
],
"Resource": "arn:aws:sns:*:*:DevOps-Guru-*"
},
{
"Sid": "DevOpsGuruSlrCreation",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/devops-guru.amazonaws.com/AWSServiceRoleForDevOpsGuru",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "devops-guru.amazonaws.com"
}
}
},
{
"Sid": "DevOpsGuruSlrDeletion",
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/devops-guru.amazonaws.com/AWSServiceRoleForDevOpsGuru"
},
{
"Sid": "RDSDescribeDBInstancesAccess",
"Effect": "Allow",
"Action": [
"rds:DescribeDBInstances"
],
"Resource": "*"
},
{
"Sid": "CloudWatchLogsFilterLogEventsAccess",
"Effect": "Allow",
"Action": [
"logs:FilterLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/DevOps-Guru-Analysis": "true"
}
}
}
]
}
```
------
### AmazonDevOpsGuruConsoleFullAccess
`AmazonDevOpsGuruConsoleFullAccess`— Fornisce l'accesso completo a DevOps Guru, incluse le autorizzazioni per creare argomenti Amazon SNS, accedere ai parametri di CloudWatch Amazon e agli stack di accesso. AWS CloudFormation Questa policy offre ulteriori autorizzazioni di analisi delle prestazioni che consentono di visualizzare analisi dettagliate relative alle istanze database di Amazon RDS Aurora anomale nella console. Applicala solo agli utenti di livello amministrativo a cui desideri concedere il pieno controllo su Guru. DevOps
La `AmazonDevOpsGuruConsoleFullAccess` politica contiene la seguente dichiarazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DevOpsGuruFullAccess",
"Effect": "Allow",
"Action": [
"devops-guru:*"
],
"Resource": "*"
},
{
"Sid": "CloudFormationListStacksAccess",
"Effect": "Allow",
"Action": [
"cloudformation:DescribeStacks",
"cloudformation:ListStacks"
],
"Resource": "*"
},
{
"Sid": "CloudWatchGetMetricDataAccess",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData"
],
"Resource": "*"
},
{
"Sid": "SnsListTopicsAccess",
"Effect": "Allow",
"Action": [
"sns:ListTopics",
"sns:ListSubscriptionsByTopic"
],
"Resource": "*"
},
{
"Sid": "SnsTopicOperations",
"Effect": "Allow",
"Action": [
"sns:CreateTopic",
"sns:GetTopicAttributes",
"sns:SetTopicAttributes",
"sns:Subscribe",
"sns:Publish"
],
"Resource": "arn:aws:sns:*:*:DevOps-Guru-*"
},
{
"Sid": "DevOpsGuruSlrCreation",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/devops-guru.amazonaws.com/AWSServiceRoleForDevOpsGuru",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "devops-guru.amazonaws.com"
}
}
},
{
"Sid": "DevOpsGuruSlrDeletion",
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/devops-guru.amazonaws.com/AWSServiceRoleForDevOpsGuru"
},
{
"Sid": "RDSDescribeDBInstancesAccess",
"Effect": "Allow",
"Action": [
"rds:DescribeDBInstances"
],
"Resource": "*"
},
{
"Sid": "PerformanceInsightsMetricsDataAccess",
"Effect": "Allow",
"Action": [
"pi:GetResourceMetrics",
"pi:DescribeDimensionKeys"
],
"Resource": "*"
},
{
"Sid": "CloudWatchLogsFilterLogEventsAccess",
"Effect": "Allow",
"Action": [
"logs:FilterLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/DevOps-Guru-Analysis": "true"
}
}
}
]
}
```
------
### AmazonDevOpsGuruReadOnlyAccess
`AmazonDevOpsGuruReadOnlyAccess`— Garantisce l'accesso in sola lettura a DevOps Guru e alle risorse correlate in altri servizi. AWS Applica questa politica agli utenti a cui desideri concedere la possibilità di visualizzare le informazioni, ma non apportare aggiornamenti al limite di copertura dell'analisi di DevOps Guru, agli argomenti di Amazon SNS o all'integrazione di Systems Manager. OpsCenter
La `AmazonDevOpsGuruReadOnlyAccess` policy contiene la seguente dichiarazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DevOpsGuruReadOnlyAccess",
"Effect": "Allow",
"Action": [
"devops-guru:DescribeAccountHealth",
"devops-guru:DescribeAccountOverview",
"devops-guru:DescribeAnomaly",
"devops-guru:DescribeEventSourcesConfig",
"devops-guru:DescribeFeedback",
"devops-guru:DescribeInsight",
"devops-guru:DescribeResourceCollectionHealth",
"devops-guru:DescribeServiceIntegration",
"devops-guru:GetCostEstimation",
"devops-guru:GetResourceCollection",
"devops-guru:ListAnomaliesForInsight",
"devops-guru:ListEvents",
"devops-guru:ListInsights",
"devops-guru:ListAnomalousLogGroups",
"devops-guru:ListMonitoredResources",
"devops-guru:ListNotificationChannels",
"devops-guru:ListRecommendations",
"devops-guru:SearchInsights",
"devops-guru:StartCostEstimation"
],
"Resource": "*"
},
{
"Sid": "CloudFormationListStacksAccess",
"Effect": "Allow",
"Action": [
"cloudformation:DescribeStacks",
"cloudformation:ListStacks"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/devops-guru.amazonaws.com/AWSServiceRoleForDevOpsGuru"
},
{
"Sid": "CloudWatchGetMetricDataAccess",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData"
],
"Resource": "*"
},
{
"Sid": "RDSDescribeDBInstancesAccess",
"Effect": "Allow",
"Action": [
"rds:DescribeDBInstances"
],
"Resource": "*"
},
{
"Sid": "SnsListTopicsAccess",
"Effect": "Allow",
"Action": [
"sns:ListTopics",
"sns:ListSubscriptionsByTopic"
],
"Resource": "*"
},
{
"Sid": "CloudWatchLogsFilterLogEventsAccess",
"Effect": "Allow",
"Action": [
"logs:FilterLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/DevOps-Guru-Analysis": "true"
}
}
}
]
}
```
------
### AmazonDevOpsGuruOrganizationsAccess
` AmazonDevOpsGuruOrganizationsAccess`— Fornisce agli amministratori dell'organizzazione l'accesso alla visualizzazione multi-account DevOps Guru all'interno di un'organizzazione. Applica questa politica agli utenti a livello di amministratore della tua organizzazione ai quali desideri concedere l'accesso completo a Guru all'interno di un'organizzazione. DevOps Puoi applicare questa politica nell'account di gestione e nell'account amministratore delegato della tua organizzazione per Guru. DevOps Puoi applicare `AmazonDevOpsGuruReadOnlyAccess` o `AmazonDevOpsGuruFullAccess` aggiungere questa politica per fornire l'accesso completo o di sola lettura a Guru. DevOps
La `AmazonDevOpsGuruOrganizationsAccess` politica contiene la seguente dichiarazione.
# Utilizzo di ruoli collegati ai servizi per Guru DevOps
Amazon DevOps Guru utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente a Guru. DevOps I ruoli collegati ai servizi sono predefiniti da DevOps Guru e includono tutte le autorizzazioni richieste dal servizio per chiamare AWS CloudTrail Amazon CloudWatch AWS CodeDeploy e AWS X-Ray AWS Organizations per tuo conto.
Un ruolo collegato al servizio semplifica la configurazione di DevOps Guru perché non è necessario aggiungere manualmente le autorizzazioni necessarie. DevOpsGuru definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo Guru può assumerne i ruoli. DevOps Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM.
È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. Questo protegge le tue risorse DevOps Guru perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
## Autorizzazioni di ruolo collegate al servizio per Guru DevOps
DevOpsGuru utilizza il ruolo collegato al servizio denominato. `AWSServiceRoleForDevOpsGuru` Questa è una politica AWS gestita con autorizzazioni specifiche che DevOps Guru deve eseguire nel tuo account.
Ai fini dell’assunzione del ruolo, il ruolo collegato ai servizi `AWSServiceRoleForDevOpsGuru` considera attendibile il seguente servizio:
+ `devops-guru.amazonaws.com`
La politica di autorizzazione dei ruoli `AmazonDevOpsGuruServiceRolePolicy` consente a DevOps Guru di completare le seguenti azioni sulle risorse specificate.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingGroups",
"cloudtrail:LookupEvents",
"cloudwatch:GetMetricData",
"cloudwatch:ListMetrics",
"cloudwatch:DescribeAnomalyDetectors",
"cloudwatch:DescribeAlarms",
"cloudwatch:ListDashboards",
"cloudwatch:GetDashboard",
"cloudformation:GetTemplate",
"cloudformation:ListStacks",
"cloudformation:ListStackResources",
"cloudformation:DescribeStacks",
"cloudformation:ListImports",
"codedeploy:BatchGetDeployments",
"codedeploy:GetDeploymentGroup",
"codedeploy:ListDeployments",
"config:DescribeConfigurationRecorderStatus",
"config:GetResourceConfigHistory",
"events:ListRuleNamesByTarget",
"xray:GetServiceGraph",
"organizations:ListRoots",
"organizations:ListChildren",
"organizations:ListDelegatedAdministrators",
"pi:GetResourceMetrics",
"tag:GetResources",
"lambda:GetFunction",
"lambda:GetFunctionConcurrency",
"lambda:GetAccountSettings",
"lambda:ListProvisionedConcurrencyConfigs",
"lambda:ListAliases",
"lambda:ListEventSourceMappings",
"lambda:GetPolicy",
"ec2:DescribeSubnets",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingPolicies",
"sqs:GetQueueAttributes",
"kinesis:DescribeStream",
"kinesis:DescribeLimits",
"dynamodb:DescribeTable",
"dynamodb:DescribeLimits",
"dynamodb:DescribeContinuousBackups",
"dynamodb:DescribeStream",
"dynamodb:ListStreams",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeLoadBalancerAttributes",
"rds:DescribeDBInstances",
"rds:DescribeDBClusters",
"rds:DescribeOptionGroups",
"rds:DescribeDBClusterParameters",
"rds:DescribeDBInstanceAutomatedBackups",
"rds:DescribeAccountAttributes",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"s3:GetBucketNotification",
"s3:GetBucketPolicy",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketTagging",
"s3:GetBucketWebsite",
"s3:GetIntelligentTieringConfiguration",
"s3:GetLifecycleConfiguration",
"s3:GetReplicationConfiguration",
"s3:ListAllMyBuckets",
"s3:ListStorageLensConfigurations",
"servicequotas:GetServiceQuota",
"servicequotas:ListRequestedServiceQuotaChangeHistory",
"servicequotas:ListServiceQuotas"
],
"Resource": "*"
},
{
"Sid": "AllowPutTargetsOnASpecificRule",
"Effect": "Allow",
"Action": [
"events:PutTargets",
"events:PutRule"
],
"Resource": "arn:aws:events:*:*:rule/DevOps-Guru-managed-*"
},
{
"Sid": "AllowCreateOpsItem",
"Effect": "Allow",
"Action": [
"ssm:CreateOpsItem"
],
"Resource": "*"
},
{
"Sid": "AllowAddTagsToOpsItem",
"Effect": "Allow",
"Action": [
"ssm:AddTagsToResource"
],
"Resource": "arn:aws:ssm:*:*:opsitem/*"
},
{
"Sid": "AllowAccessOpsItem",
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem",
"ssm:UpdateOpsItem"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/DevOps-GuruInsightSsmOpsItemRelated": "true"
}
}
},
{
"Sid": "AllowCreateManagedRule",
"Effect": "Allow",
"Action": "events:PutRule",
"Resource": "arn:aws:events:*:*:rule/DevOpsGuruManagedRule*"
},
{
"Sid": "AllowAccessManagedRule",
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:ListTargetsByRule"
],
"Resource": "arn:aws:events:*:*:rule/DevOpsGuruManagedRule*"
},
{
"Sid": "AllowOtherOperationsOnManagedRule",
"Effect": "Allow",
"Action": [
"events:DeleteRule",
"events:EnableRule",
"events:DisableRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": "arn:aws:events:*:*:rule/DevOpsGuruManagedRule*",
"Condition": {
"StringEquals": {
"events:ManagedBy": "devops-guru.amazonaws.com"
}
}
},
{
"Sid": "AllowTagBasedFilterLogEvents",
"Effect": "Allow",
"Action": [
"logs:FilterLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/DevOps-Guru-Analysis": "true"
}
}
},
{
"Sid": "AllowAPIGatewayGetIntegrations",
"Effect": "Allow",
"Action": "apigateway:GET",
"Resource": [
"arn:aws:apigateway:*::/restapis/??????????",
"arn:aws:apigateway:*::/restapis/*/resources",
"arn:aws:apigateway:*::/restapis/*/resources/*/methods/*/integration"
]
}
]
}
```
------
## Creazione di un ruolo collegato al servizio per Guru DevOps
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei una panoramica sulla Console di gestione AWS, la o l' AWS API AWS CLI, DevOps Guru crea automaticamente il ruolo collegato al servizio.
**Importante**
Questo ruolo collegato al servizio può apparire nel tuo account se hai completato un'azione in un altro servizio che utilizza le funzionalità supportate da questo ruolo; ad esempio, può apparire se hai aggiunto DevOps Guru a un repository di. AWS CodeCommit
## Modifica di un ruolo collegato al servizio per Guru DevOps
DevOpsGuru non consente di modificare il ruolo collegato al servizio. `AWSServiceRoleForDevOpsGuru` Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta la sezione [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per Guru DevOps
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario dissociarsi da tutti i repository prima di poterlo eliminare manualmente.
**Nota**
Se il servizio DevOps Guru utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al `AWSServiceRoleForDevOpsGuru` servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l’utente di IAM*.
# Riferimento alle autorizzazioni di Amazon DevOps Guru
Puoi utilizzare le chiavi di condizione AWS-wide nelle tue politiche DevOps Guru per esprimere condizioni. Per un elenco, consulta [IAM JSON Policy Elements Reference](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) nella *IAM* User Guide.
Puoi specificare le operazioni nel campo `Action` della policy. Per specificare un'operazione, utilizza il prefisso `devops-guru:` seguito dal nome dell'operazione API (ad esempio, `devops-guru:SearchInsights` and `devops-guru:ListAnomalies`). Per specificare più operazioni in una sola istruzione, separa ciascuna di esse con una virgola (ad esempio, `"Action": [ "devops-guru:SearchInsights", "devops-guru:ListAnomalies" ]`).
**Utilizzo di caratteri jolly**
Specifichi un Amazon Resource Name (ARN), con o senza un carattere jolly (\$1), come valore della risorsa nel campo della policy. `Resource` È possibile utilizzare un carattere jolly per specificare più operazioni o risorse. Ad esempio, `devops-guru:*` specifica tutte le azioni DevOps Guru e `devops-guru:List*` specifica tutte le azioni DevOps Guru che iniziano con la parola. `List` L'esempio seguente si riferisce a tutti gli approfondimenti con un identificatore univoco universale (UUID) che inizia con. `12345`
```
arn:aws:devops-guru:us-east-2:123456789012:insight:12345*
```
È possibile utilizzare la tabella seguente come riferimento quando si impostano [Autenticazione con identità](security-iam.md#security_iam_authentication) e si scrivono politiche di autorizzazione da allegare a un'identità IAM (politiche basate sull'identità).
**DevOpsOperazioni dell'API Guru e autorizzazioni richieste per le azioni**
| DevOpsOperazioni dell'API Guru | Autorizzazioni necessarie (operazioni API) | Resources |
| --- | --- | --- |
| AddNotificationChannel | `devops-guru:AddNotificationChannel` Necessario per aggiungere un canale di notifica da DevOps Guru. Un canale di notifica viene utilizzato per avvisarti quando DevOps Guru genera un'analisi contenente informazioni su come migliorare le tue operazioni. | `*` |
| RemoveNotificationChannel | `devops-guru:RemoveNotificationChannel` Necessario per rimuovere un canale di notifica da DevOps Guru. Un canale di notifica viene utilizzato per avvisarti quando DevOps Guru genera un'analisi contenente informazioni su come migliorare le tue operazioni. | `*` |
| ListNotificationChannels | `devops-guru:ListNotificationChannels` Necessario per restituire un elenco di canali di notifica configurati per DevOps Guru. Ogni canale di notifica viene utilizzato per avvisarti quando DevOps Guru genera un'analisi contenente informazioni su come migliorare le tue operazioni. L'unico tipo di notifica supportato è Amazon Simple Notification Service. | `*` |
| UpdateResourceCollectionFilter | `devops-guru:UpdateResourceCollectionFilter` Necessario per aggiornare l'elenco degli CloudFormation stack utilizzati per specificare quali AWS risorse del tuo account vengono analizzate da DevOps Guru. L'analisi genera approfondimenti che includono consigli, metriche operative ed eventi operativi che puoi utilizzare per migliorare le prestazioni delle tue operazioni. Questo metodo crea anche i ruoli IAM necessari per l'utilizzo CodeGuru OpsAdvisor. | `*` |
| GetResourceCollectionFilter | `devops-guru:GetResourceCollectionFilter` Obbligatorio per restituire l'elenco degli AWS CloudFormation stack utilizzati per specificare quali AWS risorse del tuo account vengono analizzate da DevOps Guru. L'analisi genera approfondimenti che includono consigli, metriche operative ed eventi operativi che puoi utilizzare per migliorare le prestazioni delle tue operazioni. | `*` |
| ListInsights | `devops-guru:ListInsights` Necessario per restituire un elenco di informazioni dettagliate nel tuo AWS account. Puoi specificare quali approfondimenti vengono restituiti in base all'ora di inizio, allo stato (`ongoing`o`any`) e al tipo (`reactive`o`predictive`). | `*` |
| DescribeInsight | `devops-guru:DescribeInsight` Necessario per restituire i dettagli su un'analisi specificata utilizzando il relativo ID. | `*` |
| SearchInsights | `devops-guru:SearchInsights` Necessario per restituire un elenco di approfondimenti nel tuo AWS account. Puoi specificare quali approfondimenti vengono restituiti in base all'ora di inizio, ai filtri e al tipo (`reactive`o`predictive`). | `*` |
| ListAnomalies | `devops-guru:ListAnomalies` Obbligatorio per restituire un elenco delle anomalie che appartengono a un'analisi specificata utilizzando il relativo ID. | `*` |
| DescribeAnomaly | `devops-guru:DescribeAnomaly` Obbligatorio per restituire i dettagli su un'anomalia specificata utilizzando il relativo ID. | `*` |
| ListEvents | `devops-guru:ListEvents` Obbligatorio per restituire un elenco degli eventi emessi dalle risorse valutate da Guru. DevOps È possibile utilizzare i filtri per specificare quali eventi vengono restituiti. | `*` |
| `ListAnomalousLogs` | devops-guru: `ListAnomalousLogs` Obbligatorio per restituire un elenco di gruppi di CloudWatch log Amazon che contengono anomalie di log. Questi vengono utilizzati per generare approfondimenti in DevOps Guru. Gli amministratori devono assicurarsi che solo gli utenti con le autorizzazioni per visualizzare i log abbiano le autorizzazioni per visualizzare CloudWatch i log anomali. CloudWatch Ti consigliamo di utilizzare le policy IAM per consentire o negare l'accesso all'operazione. `ListAnomalousLogs` | \$1 |
| ListRecommendations | `devops-guru:ListRecommendations` Necessario per restituire un elenco dei consigli di uno specifico approfondimento. Ogni raccomandazione include un elenco di metriche e un elenco di eventi correlati ai consigli. | `*` |
| DescribeAccountHealth | `devops-guru:DescribeAccountHealth` Necessario per restituire il numero di approfondimenti reattivi aperti, il numero di approfondimenti proattivi aperti e il numero di metriche analizzate nel tuo account. AWS Usa questi numeri per valutare lo stato delle operazioni del tuo account. AWS | `*` |
| DescribeAccountOverview | `devops-guru:DescribeAccountOverview` Necessario per restituire quanto segue che si è verificato in un intervallo di tempo: il numero di approfondimenti reattivi aperti che sono stati creati, il numero di approfondimenti predittivi aperti che sono stati creati e il tempo medio di recupero (MTTR) per tutti gli approfondimenti reattivi che sono stati chiusi. | `*` |
| DescribeResourceCollectionHealthOverview | `devops-guru:DescribeResourceCollectionHealthOverview` Necessario per restituire il numero di approfondimenti predittivi aperti, approfondimenti reattivi aperti e il tempo medio di recupero (MTTR) per tutti gli approfondimenti per ogni stack specificato in Guru. CloudFormation DevOps | `*` |
| DescribeIntegratedService | `devops-guru:DescribeIntegratedService` Necessario per restituire lo stato di integrazione dei servizi che possono essere integrati con Guru. DevOps L'unico servizio che può essere integrato con DevOps Guru è quello AWS Systems Manager che può essere utilizzato per creare una visione OpsItem per ogni intuizione generata. | `*` |
| UpdateIntegratedServiceConfig | `devops-guru:UpdateIntegratedServiceConfig` Necessario per abilitare o disabilitare l'integrazione con un servizio che può essere integrato con DevOps Guru. L'unico servizio che può essere integrato con DevOps Guru è Systems Manager, che può essere utilizzato per creare una visione OpsItem per ogni analisi generata. | `*` |
# Autorizzazioni per argomenti di Amazon SNS
Utilizza le informazioni in questo argomento solo se desideri configurare Amazon DevOps Guru per inviare notifiche agli argomenti di Amazon SNS di proprietà di AWS un altro account.
DevOps DevOpsAffinché Guru invii notifiche a un argomento Amazon SNS di proprietà di un altro account, devi allegare all'argomento Amazon SNS una policy che conceda a Guru le autorizzazioni per inviargli notifiche. Se configuri DevOps Guru per inviare notifiche agli argomenti di Amazon SNS di proprietà dello stesso account che usi DevOps per Guru, DevOps Guru aggiunge una policy agli argomenti per te.
Dopo aver allegato una policy per configurare le autorizzazioni per un argomento Amazon SNS in un altro account, puoi aggiungere l'argomento Amazon SNS in Guru. DevOps Puoi anche aggiornare la tua policy di Amazon SNS con un canale di notifica per renderla più sicura.
**Nota**
DevOpsAttualmente Guru supporta solo l'accesso tra più account nella stessa regione.
**Topics**
+ [Configurazione delle autorizzazioni per un argomento di Amazon SNS in un altro account](#sns-permissions-attach-policy)
+ [Aggiungere un argomento Amazon SNS da un altro account](#sns-permissions-add-sns-topic)
+ [Aggiornamento della policy di Amazon SNS con un canale di notifica (consigliato)](#sns-permissions-policy-notification-channel)
## Configurazione delle autorizzazioni per un argomento di Amazon SNS in un altro account
### Aggiungere autorizzazioni come ruolo IAM
Per utilizzare un argomento Amazon SNS da un altro account dopo aver effettuato l'accesso con un ruolo IAM, devi allegare una policy all'argomento Amazon SNS che desideri utilizzare. Per allegare una policy a un argomento Amazon SNS da un altro account mentre utilizzi un ruolo IAM, devi disporre delle seguenti autorizzazioni per quella risorsa dell'account come parte del tuo ruolo IAM:
+ sns: CreateTopic
+ sms: GetTopicAttributes
+ sms: SetTopicAttributes
+ sns:Publish
Allega la seguente policy all'argomento Amazon SNS che desideri utilizzare. Per la `Resource` chiave, *topic-owner-account-id* è l'ID dell'account del proprietario dell'argomento, *topic-sender-account-id* è l'ID dell'account dell'utente che ha configurato DevOps Guru e *devops-guru-role* il ruolo IAM del singolo utente coinvolto. È necessario sostituire con i valori appropriati *region-id* (ad esempio`us-west-2`), e. *my-topic-name*
### Aggiungere autorizzazioni come utente IAM
Per utilizzare un argomento Amazon SNS da un altro account come utente IAM, allega la seguente policy all'argomento Amazon SNS che desideri utilizzare. La `Resource` chiave *topic-owner-account-id* è l'ID dell'account del proprietario dell'argomento, *topic-sender-account-id* l'ID dell'account dell'utente che ha configurato DevOps Guru e *devops-guru-user-name* il singolo utente IAM coinvolto. È necessario sostituire con i valori appropriati *region-id* (ad esempio`us-west-2`) e. *my-topic-name*
**Nota**
Ove possibile, consigliamo di fare affidamento a credenziali temporanee invece di creare utenti IAM con credenziali a lungo termine come le password e le chiavi di accesso. Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Aggiungere un argomento Amazon SNS da un altro account
Dopo aver configurato le autorizzazioni per un argomento Amazon SNS in un altro account, puoi aggiungere quell'argomento Amazon SNS alle DevOps impostazioni di notifica di Amazon SNS. Puoi aggiungere l'argomento Amazon SNS utilizzando la console AWS CLI o la console DevOps Guru.
+ Quando si utilizza la console, è necessario selezionare l'opzione **Usa un argomento SNS ARN per specificare un argomento esistente** in modo da utilizzare un argomento di un altro account.
+ Quando si utilizza l' AWS CLI operazione [add-notification-channel](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/devops-guru/add-notification-channel.html), è necessario specificare l'elemento `TopicArn` all'interno dell'`NotificationChannelConfig`oggetto.
**Aggiungi un argomento Amazon SNS da un altro account utilizzando la console**
1. Apri la console Amazon DevOps Guru all'indirizzo [https://console.aws.amazon.com/devops-guru/](https://console.aws.amazon.com/devops-guru/).
1. Apri il pannello di navigazione, quindi scegli **Impostazioni**.
1. Vai alla sezione **Notifiche** e scegli **Modifica**.
1. Scegli **Aggiungi argomento SNS**.
1. Scegli **Usa un argomento SNS ARN per specificare un** argomento esistente.
1. Inserisci l'ARN dell'argomento Amazon SNS che desideri utilizzare. Dovresti aver già configurato le autorizzazioni per questo argomento allegandovi una policy.
1. (Facoltativo) Scegliete **Configurazione delle notifiche per modificare le impostazioni** della frequenza delle notifiche.
1. Scegli **Save** (Salva).
Dopo aver aggiunto l'argomento Amazon SNS alle impostazioni di notifica, DevOps Guru lo utilizza per informarti di eventi importanti, ad esempio quando viene creata una nuova analisi.
## Aggiornamento della policy di Amazon SNS con un canale di notifica (consigliato)
Dopo aver aggiunto un argomento, ti consigliamo di rendere più sicura la tua politica specificando le autorizzazioni solo per il canale di notifica DevOps Guru che contiene l'argomento.
**Aggiorna la policy tematica di Amazon SNS con un canale di notifica (consigliato)**
1. Esegui il AWS CLI comando `list-notification-channels` DevOps Guru nell'account da cui desideri inviare le notifiche.
```
aws devops-guru list-notification-channels
```
1. Nella `list-notification-channels` risposta, prendi nota dell'ID del canale che contiene l'ARN del tuo argomento Amazon SNS. L'ID del canale è un guid.
Ad esempio, nella risposta seguente, l'ID del canale per l'argomento con l'ARN `arn:aws:sns:region-id:111122223333:topic-name` è `e89be5f7-989d-4c4c-b1fe-e7145037e531`
```
{
"Channels": [
{
"Id": "e89be5f7-989d-4c4c-b1fe-e7145037e531",
"Config": {
"Sns": {
"TopicArn": "arn:aws:sns:region-id:111122223333:topic-name"
},
"Filters": {
"MessageTypes": ["CLOSED_INSIGHT", "NEW_INSIGHT", "SEVERITY_UPGRADED"],
"Severities": ["HIGH", "MEDIUM"]
}
}
}
]
}
```
1. Vai alla policy che hai creato in un altro account utilizzando l'ID del proprietario dell'argomento in[Configurazione delle autorizzazioni per un argomento di Amazon SNS in un altro account](#sns-permissions-attach-policy). Nella `Condition` dichiarazione della politica, aggiungi la riga che specifica il`SourceArn`. L'ARN contiene il tuo ID regionale (ad esempio,`us-east-1`), il numero di AWS account del mittente dell'argomento e l'ID del canale di cui hai preso nota.
La tua `Condition` dichiarazione aggiornata è simile alla seguente.
```
"Condition" : {
"StringEquals" : {
"AWS:SourceArn": "arn:aws:devops-guru:us-east-1:111122223333:channel/e89be5f7-989d-4c4c-b1fe-e7145037e531",
"AWS:SourceAccount": "111122223333"
}
}
```
Se `AddNotificationChannel` non riesci ad aggiungere il tuo argomento SNS, verifica che la tua policy IAM disponga delle seguenti autorizzazioni.
# Autorizzazioni per argomenti AWS KMS Amazon SNS crittografati
L'argomento Amazon SNS specificato potrebbe essere crittografato da. AWS Key Management Service Per consentire a DevOps Guru di lavorare con argomenti crittografati, devi prima creare una dichiarazione AWS KMS key e quindi aggiungere la seguente dichiarazione alla politica della chiave KMS. Per ulteriori informazioni, [consulta Crittografia dei messaggi pubblicati su Amazon SNS con AWS KMS](https://aws.amazon.com/blogs/compute/encrypting-messages-published-to-amazon-sns-with-aws-kms/)[, Key identifiers KeyId (](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id)) nella *User Guide e [Data encryption AWS KMS](https://docs.aws.amazon.com/sns/latest/dg/sns-data-encryption.html) nella* *Amazon* Simple Notification Service Developer Guide.
**Nota**
DevOpsAttualmente Guru supporta argomenti crittografati da utilizzare all'interno di un singolo account. Al momento non è supportato l'utilizzo di un argomento crittografato su più account.
# Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon DevOps Guru
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con DevOps Guru e IAM.
**Topics**
+ [Non sono autorizzato a eseguire un'azione in Guru DevOps](#security_iam_troubleshoot-no-permissions)
+ [Voglio fornire agli utenti l'accesso programmatico](#security_iam_troubleshoot-keys)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Voglio consentire a persone esterne al mio AWS account di accedere alle mie risorse DevOps Guru](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un'azione in Guru DevOps
Se ti Console di gestione AWS dice che non sei autorizzato a eseguire un'azione, devi contattare l'amministratore per ricevere assistenza.
L'errore di esempio seguente si verifica quando l'utente `mateojackson` tenta di utilizzare la console per visualizzare i dettagli su una `my-example-widget` risorsa fittizia ma non dispone delle autorizzazioni fittizie`aws:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: aws:GetWidget on resource: my-example-widget
```
In questo caso, Mateo richiede al suo amministratore di aggiornare le policy per poter accedere alla risorsa `my-example-widget` utilizzando l'operazione `aws:GetWidget`.
## Voglio fornire agli utenti l'accesso programmatico
Gli utenti hanno bisogno di un accesso programmatico se vogliono interagire con l' AWS esterno di. Console di gestione AWS Il modo per concedere l'accesso programmatico dipende dal tipo di utente che accede. AWS
Per fornire agli utenti l’accesso programmatico, scegli una delle seguenti opzioni.
****
| Quale utente necessita dell’accesso programmatico? | Per | Come |
| --- | --- | --- |
| IAM | (Consigliato) Utilizza le credenziali della console come credenziali temporanee per firmare le richieste programmatiche a,, o. AWS CLI AWS SDKs AWS APIs | Segui le istruzioni per l’interfaccia che desideri utilizzare. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/devops-guru/latest/userguide/security_iam_troubleshoot.html) |
| Identità della forza lavoro (Utenti gestiti nel centro identità IAM) | Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs | Segui le istruzioni per l’interfaccia che desideri utilizzare. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/devops-guru/latest/userguide/security_iam_troubleshoot.html) |
| IAM | Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs | Seguendo le istruzioni riportate in [Utilizzo delle credenziali temporanee con le AWS risorse nella Guida per](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) l'utente IAM. |
| IAM | (Non consigliato)Utilizza credenziali a lungo termine per firmare richieste programmatiche a AWS CLI,, AWS SDKs o. AWS APIs | Segui le istruzioni per l’interfaccia che desideri utilizzare. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/devops-guru/latest/userguide/security_iam_troubleshoot.html) |
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue politiche devono essere aggiornate per consentirti di assegnare un ruolo a DevOps Guru.
Alcuni Servizi AWS consentono di passare un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in DevOps Guru. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne al mio AWS account di accedere alle mie risorse DevOps Guru
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per concedere alle persone l'accesso alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se DevOps Guru supporta queste funzionalità, consulta. [Come funziona Amazon DevOps Guru con IAM](security_iam_service-with-iam.md)
+ Per scoprire come fornire l'accesso alle tue risorse su tutto Account AWS ciò che possiedi, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente di IAM*.