Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Come funziona Amazon Keyspaces con IAM
Prima di utilizzare IAM per gestire l'accesso ad Amazon Keyspaces, è necessario comprendere quali funzionalità IAM sono disponibili per l'uso con Amazon Keyspaces. Per avere una visione di alto livello di come Amazon Keyspaces e AWS altri servizi funzionano con IAM, [AWS consulta i servizi che funzionano con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) IAM nella IAM User *Guide*.
**Topics**
+ [Politiche basate sull'identità di Amazon Keyspaces](#security_iam_service-with-iam-id-based-policies)
+ [Politiche basate sulle risorse di Amazon Keyspaces](#security_iam_service-with-iam-resource-based-policies)
+ [Autorizzazione basata sui tag Amazon Keyspaces](#security_iam_service-with-iam-tags)
+ [Ruoli IAM di Amazon Keyspaces](#security_iam_service-with-iam-roles)
## Politiche basate sull'identità di Amazon Keyspaces
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Amazon Keyspaces supporta azioni e risorse specifiche e chiavi di condizione. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta [Documentazione di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l'utente IAM*.
*Per visualizzare le risorse e le azioni specifiche del servizio Amazon Keyspaces e le chiavi contestuali delle condizioni che possono essere utilizzate per le policy di autorizzazione IAM, consulta [Actions, resources and condition keys per Amazon Keyspaces (per Apache](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html) Cassandra) nel Service Authorization Reference.*
### Azioni
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Le azioni politiche in Amazon Keyspaces utilizzano il seguente prefisso prima dell'azione:. `cassandra:` Ad esempio, per concedere a qualcuno l'autorizzazione a creare uno spazio di chiavi Amazon Keyspaces con l'istruzione `CREATE` CQL di Amazon Keyspaces, includi l'azione nella sua politica. `cassandra:Create` Le istruzioni della policy devono includere un elemento `Action` o `NotAction`. Amazon Keyspaces definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio.
Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:
```
"Action": [
"cassandra:CREATE",
"cassandra:MODIFY"
]
```
*Per visualizzare un elenco delle azioni di Amazon Keyspaces, consulta [Actions Defined by Amazon Keyspaces (per Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions) nel Service Authorization Reference.*
### Resources
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
In Amazon Keyspaces, gli spazi chiave, le tabelle e gli stream possono essere utilizzati nell'`Resource`elemento delle autorizzazioni IAM.
**Nota**
Per accedere agli spazi chiave e alle tabelle degli utenti in Amazon Keyspaces, la tua policy IAM deve `cassandra:Select` includere le autorizzazioni sulle tabelle di sistema:
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/system*
```
Ciò si applica ai seguenti scenari:
AWS Accesso alla console di gestione
Operazioni relative alle risorse SDK, ad esempio`GetKeyspace`, `GetTable``ListKeyspaces`, e `ListTables`
Connessioni standard ai driver del client Apache Cassandra, poiché i driver leggono automaticamente le tabelle di sistema durante l'inizializzazione della connessione
Le tabelle di sistema sono di sola lettura e non possono essere modificate.
La risorsa keyspace di Amazon Keyspaces ha il seguente ARN:
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/${keyspaceName}/
```
La risorsa della tabella Amazon Keyspaces ha il seguente ARN:
```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/${keyspaceName}/table/${tableName}
```
La risorsa di flusso Amazon Keyspaces ha il seguente ARN:
```
arn:${Partition}:cassandra:{Region}:${Account}:/keyspace/${keyspaceName}/table/${tableName}/stream/${streamLabel}
```
Per ulteriori informazioni sul formato di ARNs, consulta [Amazon Resource Names (ARNs) e AWS service namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Ad esempio, per specificare `mykeyspace` lo spazio delle chiavi nella tua dichiarazione, usa il seguente ARN:
```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/"
```
Per specificare tutti gli spazi chiave che appartengono a un account specifico, usa il carattere jolly (\$1):
```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/*"
```
Alcune azioni di Amazon Keyspaces, come quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (\$1).
```
"Resource": "*"
```
Ad esempio, per concedere `SELECT` le autorizzazioni a un principale IAM for `mytable` in`mykeyspace`, il principale deve disporre delle autorizzazioni per leggere entrambi, e. `mytable` `keyspace/system*` Per specificare più risorse in una singola istruzione, separale ARNs con virgole.
```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
"arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
```
*Per visualizzare un elenco dei tipi di risorse Amazon Keyspaces e relativi ARNs, consulta [Resources Defined by Amazon Keyspaces (per Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-resources-for-iam-policies) nel Service Authorization Reference.* Per sapere con quali azioni puoi specificare l'ARN di ogni risorsa, consulta [Actions Defined by Amazon Keyspaces (per](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions) Apache Cassandra).
### Chiavi di condizione
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Amazon Keyspaces definisce il proprio set di chiavi di condizione e supporta anche l'utilizzo di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) nella *Guida per l'utente IAM*.
Tutte le azioni di Amazon Keyspaces supportano le chiavi `aws:RequestTag/${TagKey}``aws:ResourceTag/${TagKey}`, the e `aws:TagKeys` condition. Per ulteriori informazioni, consulta [Accesso alle risorse Amazon Keyspaces basato su tag](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags).
*Per visualizzare un elenco delle chiavi di condizione di Amazon Keyspaces, consulta Condition [Keys for Amazon Keyspaces (per Apache Cassandra)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-policy-keys) nel Service Authorization Reference.* Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, consulta [Actions Defined by Amazon Keyspaces (per Apache](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions) Cassandra).
### Esempi
Per visualizzare esempi di policy basate sull'identità di Amazon Keyspaces, consulta. [Esempi di policy basate sull'identità di Amazon Keyspaces](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse di Amazon Keyspaces
Amazon Keyspaces non supporta politiche basate sulle risorse. Per visualizzare un esempio di una pagina di policy basata su risorse dettagliata, consulta [https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html).
## Autorizzazione basata sui tag Amazon Keyspaces
Puoi gestire l'accesso alle tue risorse Amazon Keyspaces utilizzando i tag. Per gestire l'accesso alle risorse in base ai tag, fornisci le informazioni sui tag nell'[elemento condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando i tasti `cassandra:ResourceTag/key-name``aws:RequestTag/key-name`, o `aws:TagKeys` condition. Per ulteriori informazioni sull'etichettatura delle risorse Amazon Keyspaces, consulta. [Utilizzo di tag ed etichette per le risorse Amazon Keyspaces](tagging-keyspaces.md)
Per visualizzare policy basate sulle identità di esempio per limitare l'accesso a una risorsa basata su tag su tale risorsa, consulta [Accesso alle risorse Amazon Keyspaces basato su tag](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags).
## Ruoli IAM di Amazon Keyspaces
Un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) è un'entità interna all'utente Account AWS che dispone di autorizzazioni specifiche.
### Utilizzo di credenziali temporanee con Amazon Keyspaces
Puoi utilizzare credenziali temporanee per effettuare l'accesso utilizzando la federazione, per assumere un ruolo IAM o per assumere un ruolo multi-account. Puoi ottenere credenziali di sicurezza temporanee chiamando operazioni AWS STS API come o. [AssumeRole[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)
Amazon Keyspaces supporta l'uso di credenziali temporanee con il plug-in di autenticazione AWS Signature Version 4 (SigV4) disponibile nel repository Github per le seguenti lingue:
+ [https://github.com/aws/aws-sigv4-auth-cassandra-java-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-java-driver-plugin)Java:.
+ Node.js:[https://github.com/aws/aws-sigv4-auth-cassandra-nodejs-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-nodejs-driver-plugin).
+ Python: [https://github.com/aws/aws-sigv4-auth-cassandra-python-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-python-driver-plugin).
+ Vai:[https://github.com/aws/aws-sigv4-auth-cassandra-gocql-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-gocql-driver-plugin).
Per esempi e tutorial che implementano il plug-in di autenticazione per accedere ad Amazon Keyspaces a livello di codice, consulta. [Utilizzo di un driver client Cassandra per accedere ad Amazon Keyspaces a livello di codice](programmatic.drivers.md)
### Ruoli collegati ai servizi
[I ruoli collegati ai](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) AWS servizi consentono ai servizi di accedere alle risorse di altri servizi per completare un'azione per tuo conto. I ruoli collegati ai servizi sono visualizzati nell'account IAM e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non può modificarle.
Per informazioni dettagliate sulla creazione o la gestione di ruoli collegati ai servizi Amazon Keyspaces, consulta. **[Utilizzo di ruoli collegati ai servizi per Amazon Keyspaces](using-service-linked-roles.md)**
### Ruoli di servizio
Amazon Keyspaces non supporta i ruoli di servizio.