Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Controllo granulare degli accessi tramite i nomi e i tag delle risorse
<a name="CHAP_Security.FineGrainedAccess"></a>

Puoi utilizzare nomi e tag di risorse basati su Amazon Resource Names (ARNs) per gestire l'accesso alle AWS DMS risorse. Per farlo, occorre definire l'operazione consentita o includere istruzioni condizionali nelle policy IAM. 

## Utilizzo dei nomi delle risorse per il controllo dell'accesso
<a name="CHAP_Security.FineGrainedAccess.ResourceName"></a>

È possibile creare un account utente IAM e assegnare una policy in base all'ARN della risorsa AWS DMS .

La seguente policy nega l'accesso all'istanza di AWS DMS replica con l'ARN *ARN: aws:dms:us-east- 1:152683116:rep*: ZTOXGLIXMIHKITV: DOH67

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "dms:*"
            ],
            "Effect": "Deny",
            "Resource": "arn:aws:dms:us-east-1:111122223333:rep:DOH67ZTOXGLIXMIHKITV"
        }
    ]
}
```

------

Ad esempio, i seguenti comandi hanno esito negativo se la policy è attiva.

```
$ aws dms delete-replication-instance 
   --replication-instance-arn "arn:aws:dms:us-east-1:152683116:rep:DOH67ZTOXGLIXMIHKITV"

A client error (AccessDeniedException) occurred when calling the DeleteReplicationInstance 
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: 
dms:DeleteReplicationInstance on resource: arn:aws:dms:us-east-1:152683116:rep:DOH67ZTOXGLIXMIHKITV

$ aws dms modify-replication-instance 
   --replication-instance-arn "arn:aws:dms:us-east-1:152683116:rep:DOH67ZTOXGLIXMIHKITV"

A client error (AccessDeniedException) occurred when calling the ModifyReplicationInstance 
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: 
dms:ModifyReplicationInstance on resource: arn:aws:dms:us-east-1:152683116:rep:DOH67ZTOXGLIXMIHKITV
```

Puoi anche specificare policy IAM che AWS DMS limitano l'accesso agli endpoint e alle attività di replica.

La seguente policy limita l'accesso a un AWS DMS endpoint utilizzando l'ARN dell'endpoint.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "dms:*"
            ],
            "Effect": "Deny",
            "Resource": "arn:aws:dms:us-east-1:111122223333:endpoint:D6E37YBXTNHOA6XRQSZCUGX"
        }
    ]
}
```

------

Ad esempio, i seguenti comandi hanno esito negativo se la policy che usa l'ARN dell'endpoint è attiva.

```
$ aws dms delete-endpoint 
   --endpoint-arn "arn:aws:dms:us-east-1:152683116:endpoint:D6E37YBXTNHOA6XRQSZCUGX"

A client error (AccessDeniedException) occurred when calling the DeleteEndpoint operation: 
User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:DeleteEndpoint 
on resource: arn:aws:dms:us-east-1:152683116:endpoint:D6E37YBXTNHOA6XRQSZCUGX

$ aws dms modify-endpoint 
   --endpoint-arn "arn:aws:dms:us-east-1:152683116:endpoint:D6E37YBXTNHOA6XRQSZCUGX"     

A client error (AccessDeniedException) occurred when calling the ModifyEndpoint operation: 
User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:ModifyEndpoint 
on resource: arn:aws:dms:us-east-1:152683116:endpoint:D6E37YBXTNHOA6XRQSZCUGX
```

La seguente politica limita l'accesso a un' AWS DMS attività utilizzando l'ARN dell'attività.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "dms:*"
            ],
            "Effect": "Deny",
            "Resource": "arn:aws:dms:us-east-1:111122223333:task:UO3YR4N47DXH3ATT4YMWOIT"
        }
    ]
}
```

------

Ad esempio, i seguenti comandi hanno esito negativo se la policy che usa l'ARN dell'attività è attiva.

```
$ aws dms delete-replication-task 
   --replication-task-arn "arn:aws:dms:us-east-1:152683116:task:UO3YR4N47DXH3ATT4YMWOIT"

A client error (AccessDeniedException) occurred when calling the DeleteReplicationTask operation: 
User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:DeleteReplicationTask 
on resource: arn:aws:dms:us-east-1:152683116:task:UO3YR4N47DXH3ATT4YMWOIT
```

## Utilizzo dei tag per controllare l'accesso
<a name="CHAP_Security.FineGrainedAccess.Tags"></a>

AWS DMS definisce una serie di coppie chiave-valore comuni che sono disponibili per l'uso nelle politiche definite dal cliente senza requisiti di etichettatura aggiuntivi. Per ulteriori informazioni sull'etichettatura AWS DMS delle risorse, vedere. [Etichettatura delle risorse in AWS Database Migration Service](CHAP_Tagging.md) 

Di seguito sono elencati i tag standard disponibili per l'uso con AWS DMS: 
+  aws: CurrentTime — Rappresenta la data e l'ora della richiesta, permettendo la limitazione dell'accesso in base a criteri temporali. 
+  aws: EpochTime — Questo tag è simile al CurrentTime tag aws: precedente, tranne per il fatto che l'ora corrente è rappresentata come il numero di secondi trascorsi dall'epoca Unix. 
+  aws: MultiFactorAuthPresent — Questo è un tag booleano che indica se la richiesta è stata firmata o meno tramite l'autenticazione a più fattori. 
+  aws: MultiFactorAuthAge — Fornisce l'accesso all'era del token di autenticazione a più fattori (in secondi). 
+  aws:principaltype: fornisce accesso al tipo di principale (utente, account, utente federato, ecc.) per la richiesta corrente. 
+  aws: SourceIp — Rappresenta l'indirizzo IP di origine dell'utente che emette la richiesta. 
+  aws: UserAgent — Fornisce informazioni sull'applicazione client che richiede una risorsa. 
+  aws:userid: fornisce accesso all'ID dell'utente che invia la richiesta. 
+  aws:username: fornisce accesso al nome dell'utente che invia la richiesta. 
+  dms: InstanceClass — Fornisce l'accesso alle dimensioni di calcolo degli host delle istanze di replica. 
+  dms: StorageSize — Fornisce l'accesso alla dimensione del volume di archiviazione (in GB). 

Inoltre, è possibile definire tag personalizzati. I tag definiti dal cliente sono semplici coppie chiave-valore che vengono mantenute nel servizio di tagging. AWS È possibile aggiungerle alle risorse AWS DMS , incluse le istanze di replica, gli endpoint e le attività. Questi tag sono abbinati mediante istruzioni "condizionali" IAM nelle policy e vengono indicati tramite un tag condizionale specifico. Le chiavi dei tag hanno come prefisso "dms", il tipo di risorsa e il prefisso "tag". Di seguito è illustrato il formato del tag.

```
dms:{resource type}-tag/{tag key}={tag value}
```

Ad esempio, supponi di voler definire una policy che consente solo una chiamata API per un'istanza di replica che contiene il tag "stage=production". La seguente istruzione condizionale corrisponde a una risorsa con un determinato tag.

```
"Condition":
{
    "streq":
        {
            "dms:rep-tag/stage":"production"
        }
}
```

Aggiungi il tag seguente a un'istanza di replica che corrisponde alla condizione di questa policy. 

```
stage production
```

Oltre ai tag già assegnati alle AWS DMS risorse, è possibile scrivere anche politiche per limitare le chiavi e i valori dei tag che possono essere applicati a una determinata risorsa. In questo caso, il prefisso del tag è "req". 

Ad esempio, la seguente istruzione di policy limita i tag che un utente può assegnare a una determinata risorsa a un elenco specifico di valori consentiti.

```
 "Condition":
{
    "streq":
        {
            "dms:rep-tag/stage": [ "production", "development", "testing" ]
        }
}
```

I seguenti esempi di policy limitano l'accesso a una AWS DMS risorsa in base ai tag delle risorse.

La seguente policy limita l'accesso a un'istanza di replica in cui il valore di tag è "Desktop" e la chiave di tag è "Env":

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "dms:*"
            ],
            "Effect": "Deny",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "dms:rep-tag/Env": [
                        "Desktop"
                    ]
                }
            }
        }
    ]
}
```

------

I seguenti comandi hanno esito positivo o negativo in base alla policy IAM che limita l'accesso quando il valore di tag è "Desktop" e la chiave di tag è "Env".

```
$ aws dms list-tags-for-resource 
   --resource-name arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN 
   --endpoint-url http://localhost:8000                                   
{
    "TagList": [
        {
            "Value": "Desktop", 
            "Key": "Env"
        }
    ]
}

$ aws dms delete-replication-instance 
   --replication-instance-arn "arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN"
A client error (AccessDeniedException) occurred when calling the DeleteReplicationInstance 
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: 
dms:DeleteReplicationInstance on resource: arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN

$ aws dms modify-replication-instance 
   --replication-instance-arn "arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN" 

A client error (AccessDeniedException) occurred when calling the ModifyReplicationInstance 
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: 
dms:ModifyReplicationInstance on resource: arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN

$ aws dms add-tags-to-resource 
   --resource-name arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN 
   --tags Key=CostCenter,Value=1234 

A client error (AccessDeniedException) occurred when calling the AddTagsToResource 
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: 
dms:AddTagsToResource on resource: arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN

$ aws dms remove-tags-from-resource 
   --resource-name arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN 
   --tag-keys Env             

A client error (AccessDeniedException) occurred when calling the RemoveTagsFromResource 
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: 
dms:RemoveTagsFromResource on resource: arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN
```

La seguente policy limita l'accesso a un AWS DMS endpoint in cui il valore del tag è «Desktop» e la chiave del tag è «Env».

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "dms:*"
            ],
            "Effect": "Deny",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "dms:endpoint-tag/Env": [
                        "Desktop"
                    ]
                }
            }
        }
    ]
}
```

------

I seguenti comandi hanno esito positivo o negativo in base alla policy IAM che limita l'accesso quando il valore di tag è "Desktop" e la chiave di tag è "Env".

```
$ aws dms list-tags-for-resource 
   --resource-name arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I
{
    "TagList": [
        {
            "Value": "Desktop", 
            "Key": "Env"
        }
    ]
}

$ aws dms delete-endpoint 
   --endpoint-arn "arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I"

A client error (AccessDeniedException) occurred when calling the DeleteEndpoint 
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: 
dms:DeleteEndpoint on resource: arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I

$ aws dms modify-endpoint 
   --endpoint-arn "arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I"    

A client error (AccessDeniedException) occurred when calling the ModifyEndpoint 
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: 
dms:ModifyEndpoint on resource: arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I

$ aws dms add-tags-to-resource 
   --resource-name arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I 
   --tags Key=CostCenter,Value=1234

A client error (AccessDeniedException) occurred when calling the AddTagsToResource 
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: 
dms:AddTagsToResource on resource: arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I

$ aws dms remove-tags-from-resource 
   --resource-name arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I 
   --tag-keys Env

A client error (AccessDeniedException) occurred when calling the RemoveTagsFromResource 
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: 
dms:RemoveTagsFromResource on resource: arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I
```

La seguente policy limita l'accesso a un'attività di replica in cui il valore di tag è "Desktop" e la chiave di tag è "Env".

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "dms:*"
            ],
            "Effect": "Deny",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "dms:task-tag/Env": [
                        "Desktop"
                    ]
                }
            }
        }
    ]
}
```

------

I seguenti comandi hanno esito positivo o negativo in base alla policy IAM che limita l'accesso quando il valore di tag è "Desktop" e la chiave di tag è "Env".

```
$ aws dms list-tags-for-resource 
   --resource-name arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3
{
    "TagList": [
        {
            "Value": "Desktop", 
            "Key": "Env"
        }
    ]
}

$ aws dms delete-replication-task 
   --replication-task-arn "arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3"

A client error (AccessDeniedException) occurred when calling the DeleteReplicationTask 
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: 
dms:DeleteReplicationTask on resource: arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3

$ aws dms add-tags-to-resource 
   --resource-name arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3 
   --tags Key=CostCenter,Value=1234

A client error (AccessDeniedException) occurred when calling the AddTagsToResource 
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: 
dms:AddTagsToResource on resource: arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3

$ aws dms remove-tags-from-resource 
   --resource-name arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3 
   --tag-keys Env

A client error (AccessDeniedException) occurred when calling the RemoveTagsFromResource 
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: 
dms:RemoveTagsFromResource on resource: arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3
```