Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Controlla l'accesso diretto a EBS APIs tramite IAM
Un utente deve disporre delle seguenti politiche per utilizzare EBS Direct. APIs Per ulteriori informazioni, consulta [Modifica delle autorizzazioni per un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html).
Per ulteriori informazioni sulle APIs risorse dirette, le azioni e le chiavi di contesto delle condizioni di EBS da utilizzare nelle politiche di autorizzazione IAM, consulta [Azioni, risorse e chiavi di condizione per Amazon Elastic Block Store](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticblockstore.html) nel *Service Authorization Reference*.
**Importante**
Presta attenzione quando assegni le seguenti policy agli utenti . Assegnando queste policy, potresti consentire l'accesso a un utente a cui viene negato l'accesso alla stessa risorsa tramite Amazon APIs EC2, come CopySnapshot le CreateVolume azioni o.
## Autorizzazioni per la lettura di snapshot
La seguente politica consente di utilizzare la *lettura* diretta APIs di EBS su tutte le istantanee in una regione specifica. AWS Nella politica, sostituisci ** con la regione dell'istantanea.
La seguente politica consente di utilizzare la *lettura* diretta APIs di EBS su istantanee con un tag chiave-valore specifico. Nella policy, sostituiscilo ** con il valore chiave del tag e ** con il valore del tag.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:ListChangedBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"StringEqualsIgnoreCase": {
"aws:ResourceTag/": ""
}
}
}
]
}
```
------
La seguente politica consente di utilizzare tutta la *lettura* diretta APIs di EBS su tutte le istantanee dell'account solo entro un intervallo di tempo specifico. Questa politica autorizza l'uso di EBS direct in APIs base alla chiave di condizione globale. `aws:CurrentTime` Nella policy, sostituisci l'intervallo di data e ora visualizzato con l'intervallo di data e ora per la policy.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:ListChangedBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"DateGreaterThan": {
"aws:CurrentTime": "2018-05-29T00:00:00Z"
},
"DateLessThan": {
"aws:CurrentTime": "2020-05-29T23:59:59Z"
}
}
}
]
}
```
------
Per ulteriori informazioni, consulta [Modifica delle autorizzazioni per un utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) nella *Guida per l'utente IAM*.
## Autorizzazioni per scrivere gli snapshot
La seguente politica consente di utilizzare la *scrittura* EBS direct APIs su tutte le istantanee in una regione specifica. AWS Nella politica, sostituisci ** con la regione dell'istantanea.
La seguente politica consente di utilizzare la *scrittura* EBS diretta APIs su istantanee con un tag chiave-valore specifico. Nella policy, sostituiscilo ** con il valore chiave del tag e ** con il valore del tag.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ebs:StartSnapshot",
"ebs:PutSnapshotBlock",
"ebs:CompleteSnapshot"
],
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"StringEqualsIgnoreCase": {
"aws:ResourceTag/": ""
}
}
}
]
}
```
------
La seguente politica consente l'utilizzo diretto APIs di tutti gli EBS. Consente inoltre l'operazione `StartSnapshot` solo se viene specificato un ID snapshot padre. Pertanto, questa policy blocca la possibilità di avviare nuovi snapshot se non si specifica uno snapshot padre.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ebs:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"ebs:ParentSnapshot": "arn:aws:ec2:*::snapshot/*"
}
}
}
]
}
```
------
La seguente politica consente di utilizzare tutti gli EBS Direct APIs . Consente inoltre di creare la chiave di tag `user` per un nuovo snapshot. Questa policy garantisce inoltre che l'utente abbia accesso alla creazione di tag. L'operazione `StartSnapshot` è l'unica in grado di specificare i tag.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ebs:*",
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": "user"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "*"
}
]
}
```
------
La seguente politica consente di utilizzare tutta la *scrittura* diretta APIs di EBS su tutte le istantanee dell'account solo entro un intervallo di tempo specifico. Questa politica autorizza l'uso di EBS direct in APIs base alla chiave di condizione globale. `aws:CurrentTime` Nella policy, sostituisci l'intervallo di data e ora visualizzato con l'intervallo di data e ora per la policy.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ebs:StartSnapshot",
"ebs:PutSnapshotBlock",
"ebs:CompleteSnapshot"
],
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"DateGreaterThan": {
"aws:CurrentTime": "2018-05-29T00:00:00Z"
},
"DateLessThan": {
"aws:CurrentTime": "2020-05-29T23:59:59Z"
}
}
}
]
}
```
------
Per ulteriori informazioni, consulta [Modifica delle autorizzazioni per un utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) nella *Guida per l'utente IAM*.
## Autorizzazioni da utilizzare AWS KMS keys
La policy seguente concede l'autorizzazione per decrittografare uno snapshot crittografato utilizzando una chiave KMS specifica. Garantisce inoltre l'autorizzazione per crittografare nuovi snapshot usando la chiave KMS di default per la crittografia EBS. Nella politica, ** sostituiscila con la regione della chiave KMS, ** con l'ID dell' AWS account della chiave KMS e ** con l'ID della chiave KMS.
**Nota**
Per impostazione predefinita, tutti i responsabili dell'account hanno accesso alla chiave KMS AWS gestita predefinita per la crittografia Amazon EBS e possono utilizzarla per le operazioni di crittografia e decrittografia EBS. Se usi una chiave gestita dal cliente, devi creare una nuova policy della chiave o modificare la politica della chiave esistente per la chiave gestita dal cliente, per consentire all'entità principale di accedervi. Per ulteriori informazioni, consulta [Policy delle chiavi in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.
**Suggerimento**
Per seguire il principio del privilegio minimo, non consentire l'accesso completo a `kms:CreateGrant`. Utilizza invece la chiave `kms:GrantIsForAWSResource` condition per consentire all'utente di creare concessioni sulla chiave KMS solo quando la concessione viene creata per conto dell'utente da un AWS servizio, come mostrato nell'esempio seguente.
Per ulteriori informazioni, consulta [Modifica delle autorizzazioni per un utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) nella *Guida per l'utente IAM*.