Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in Amazon Personalize
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo aspetto come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. Amazon Personalize utilizza la crittografia dei dati per proteggere i tuoi dati. Per ulteriori informazioni, consulta [Crittografia dei dati in Amazon Personalize](data-encryption.md). Per maggiori informazioni sui programmi di conformità applicabili ad Amazon Personalize, consulta [AWS Services in Scope by Compliance Program ](https://aws.amazon.com/compliance/services-in-scope/) Program.
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L’utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della propria azienda e le leggi e normative vigenti.
Questa documentazione ti aiuta a capire come applicare il modello di responsabilità condivisa quando usi Amazon Personalize. I seguenti argomenti mostrano come configurare Amazon Personalize per soddisfare i tuoi obiettivi di sicurezza e conformità. Scopri anche come utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere le tue risorse Amazon Personalize.
**Topics**
+ [Protezione dei dati in Amazon Personalize](data-protection.md)
+ [Identity and Access Management per Amazon Personalize](security-iam.md)
+ [Monitoraggio di Amazon Personalize con Amazon CloudWatch](personalize-monitoring.md)
+ [Registrazione delle chiamate API di Amazon Personalize con AWS CloudTrail](logging-using-cloudtrail.md)
+ [Convalida della conformità per Amazon Personalize](personalize-compliance.md)
+ [Resilienza in Amazon Personalize](disaster-recovery-resiliency.md)
+ [Sicurezza dell'infrastruttura in Amazon Personalize](infrastructure-security.md)
+ [Amazon Personalizza e interfaccia gli endpoint VPC ()AWS PrivateLink](vpc-interface-endpoints.md)
# Protezione dei dati in Amazon Personalize
Il [modello di responsabilità AWS condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) si applica alla protezione dei dati in Amazon Personalize. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Amazon Personalize o altro Servizi AWS utilizzando la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
# Crittografia dei dati in Amazon Personalize
Le seguenti informazioni spiegano dove Amazon Personalize utilizza la crittografia dei dati per proteggere i dati.
## Crittografia dei dati a riposo
Tutti i dati archiviati in Amazon Personalize sono sempre crittografati quando sono inattivi con le chiavi AWS Key Management Service gestite AWS KMS() di Amazon Personalize. Se fornisci la tua AWS KMS chiave durante la creazione delle risorse, Amazon Personalize utilizza la chiave per crittografare i dati e archiviarli. Ad esempio, se fornisci un AWS KMS ARN nell'[CreateDatasetGroup](API_CreateDatasetGroup.md)operazione, Amazon Personalize utilizza la chiave per crittografare e archiviare i dati importati in qualsiasi set di dati creato in quel gruppo di set di dati.
Devi concedere ad Amazon Personalize e al tuo ruolo di servizio Amazon Personalize IAM l'autorizzazione a usare la tua chiave. Per ulteriori informazioni, consulta [Autorizzazione all'uso del codice da parte di Amazon Personalize AWS KMS](granting-personalize-key-access.md).
Per informazioni sulla crittografia dei dati in Amazon S3, consulta la sezione [Protezione dei dati mediante crittografia](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html) nella Guida per l'*utente di Amazon Simple Storage Service*. Per informazioni sulla gestione della tua AWS KMS chiave, consulta [Managing keys](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) nella *AWS Key Management Service Developer Guide*.
## Crittografia dei dati in transito
Amazon Personalize utilizza TLS con AWS certificati per crittografare tutti i dati inviati ad altri servizi. AWS Qualsiasi comunicazione con altri AWS servizi avviene tramite HTTPS e gli endpoint Amazon Personalize supportano solo connessioni sicure tramite HTTPS.
Amazon Personalize copia i dati dal tuo account e li elabora in un sistema interno AWS . Durante l'elaborazione dei dati, Amazon Personalize crittografa i dati con una chiave Amazon Personalize o con qualsiasi AWS KMS chiave fornita dall'utente. AWS KMS
## Gestione delle chiavi
AWS gestisce tutte le chiavi predefinite. AWS KMS È tua responsabilità gestire tutte AWS KMS le chiavi che possiedi. Devi concedere ad Amazon Personalize e al tuo ruolo di servizio Amazon Personalize IAM l'autorizzazione a usare la tua chiave. Per ulteriori informazioni, consulta [Autorizzazione all'uso del codice da parte di Amazon Personalize AWS KMS](granting-personalize-key-access.md).
Per informazioni sulla gestione della tua AWS KMS chiave, consulta [Managing keys](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) nella *AWS Key Management Service Developer* Guide.
# Identity and Access Management per Amazon Personalize
AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse Amazon Personalize. IAM è uno strumento Servizio AWS che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come funziona Amazon Personalize con IAM](security_iam_service-with-iam.md)
+ [Prevenzione del confused deputy tra servizi](cross-service-confused-deputy-prevention.md)
+ [Esempi di policy basate sull'identità per Amazon Personalize](security_iam_id-based-policy-examples.md)
+ [Risoluzione dei problemi relativi all'identità e all'accesso di Amazon Personalize](security_iam_troubleshoot.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi relativi all'identità e all'accesso di Amazon Personalize](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come funziona Amazon Personalize con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate sull'identità per Amazon Personalize](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*.
### Identità federata
Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come funziona Amazon Personalize con IAM
Prima di utilizzare IAM per gestire l'accesso ad Amazon Personalize, scopri quali funzionalità IAM sono disponibili per l'uso con Amazon Personalize.
**Funzionalità IAM che puoi utilizzare con Amazon Personalize**
| Funzionalità IAM | Assistenza Amazon Personalize |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies) | No |
| [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources) | Sì |
| [Chiavi di condizione della policy (specifica del servizio)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sì |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags) | Sì |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Autorizzazioni del principale](#security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-roles-service) | Sì |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | No |
Per avere una visione di alto livello di come Amazon Personalize e AWS altri servizi funzionano con la maggior parte delle funzionalità IAM, [AWS consulta i servizi che funzionano con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) IAM nella IAM User *Guide*.
## Politiche basate sull'identità per Amazon Personalize
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
### Esempi di policy basate sull'identità per Amazon Personalize
Per visualizzare esempi di politiche basate sull'identità di Amazon Personalize, consulta. [Esempi di policy basate sull'identità per Amazon Personalize](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse all'interno di Amazon Personalize
**Supporta le policy basate su risorse:** no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Azioni politiche per Amazon Personalize
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
*Per visualizzare un elenco delle azioni di Amazon Personalize, consulta [Azioni definite da Amazon Personalize](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpersonalize.html#amazonpersonalize-actions-as-permissions) nel Service Authorization Reference.*
Le azioni politiche in Amazon Personalize utilizzano il seguente prefisso prima dell'azione:
```
personalize
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"personalize:action1",
"personalize:action2"
]
```
È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `Describe`, includi la seguente azione:
```
"Action": "personalize:Describe*"
```
Per visualizzare esempi di politiche basate sull'identità di Amazon Personalize, consulta. [Esempi di policy basate sull'identità per Amazon Personalize](security_iam_id-based-policy-examples.md)
## Risorse relative alle policy per Amazon Personalize
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
*Per visualizzare un elenco dei tipi di risorse Amazon Personalize e relativi ARNs, consulta [Resources defined by Amazon Personalize](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpersonalize.html#amazonpersonalize-resources-for-iam-policies) nel Service Authorization Reference.* Per sapere con quali azioni puoi specificare l'ARN di ogni risorsa, consulta [Azioni definite da Amazon Personalize](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpersonalize.html#amazonpersonalize-actions-as-permissions).
Per visualizzare esempi di politiche basate sull'identità di Amazon Personalize, consulta. [Esempi di policy basate sull'identità per Amazon Personalize](security_iam_id-based-policy-examples.md)
## Chiavi delle condizioni delle politiche per Amazon Personalize
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
*Per visualizzare un elenco di chiavi di condizione di Amazon Personalize, consulta [Condition keys for Amazon Personalize](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpersonalize.html#amazonpersonalize-policy-keys) nel Service Authorization Reference.* Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, consulta [Azioni definite da Amazon Personalize](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpersonalize.html#amazonpersonalize-actions-as-permissions).
Per visualizzare esempi di politiche basate sull'identità di Amazon Personalize, consulta. [Esempi di policy basate sull'identità per Amazon Personalize](security_iam_id-based-policy-examples.md)
## ACLs in Amazon Personalize
**Supporti ACLs: no**
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## ABAC con Amazon Personalize
**Supporta ABAC (tag nelle policy):** sì
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base ad attributi chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
Per ulteriori informazioni sull'etichettatura delle risorse Amazon Personalize, consulta. [Etichettare le risorse di Amazon Personalize](tagging-resources.md)
Per visualizzare una policy basata sulle identità di esempio per limitare l'accesso a una risorsa basata su tag su tale risorsa, consulta [Utilizzo di tag nelle policy IAM](tags-iam.md).
## Utilizzo di credenziali temporanee con Amazon Personalize
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono un accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Autorizzazioni principali multiservizio per Amazon Personalize
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale che chiama an Servizio AWS, combinate con la richiesta per effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli di servizio per Amazon Personalize
**Supporta i ruoli di servizio:** sì
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio potrebbe interrompere la funzionalità di Amazon Personalize. Modifica i ruoli di servizio solo quando Amazon Personalize fornisce indicazioni in tal senso.
## Ruoli collegati ai servizi per Amazon Personalize
**Supporta i ruoli collegati ai servizi:** no
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per ulteriori informazioni su come creare e gestire i ruoli collegati ai servizi, consulta [Servizi AWS supportati da IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova un servizio nella tabella che include un `Yes` nella colonna **Service-linked role (Ruolo collegato ai servizi)**. Scegli il collegamento **Sì** per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
# Prevenzione del confused deputy tra servizi
Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel AWS, l'impersonificazione tra servizi può portare alla confusione del problema del vice. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l’accesso alle risorse dell’account.
Ti consigliamo di utilizzare le chiavi di contesto [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global condition nelle politiche delle risorse per limitare le autorizzazioni che Amazon Personalize fornisce a un altro servizio alla risorsa.
Per evitare il problema confuso del sostituto nei ruoli assunti da Amazon Personalize, nella politica di fiducia del ruolo imposta il valore di `aws:SourceArn` to. `arn:aws:personalize:region:accountNumber:*` Il carattere wildcard (`*`) applica la condizione per tutte le risorse Amazon Personalize.
La seguente politica sulle relazioni di fiducia concede ad Amazon Personalize l'accesso alle tue risorse e utilizza `aws:SourceArn` le chiavi di contesto `aws:SourceAccount` e di condizione globale per prevenire il confuso problema del vice. Utilizza questa politica quando crei un ruolo per Amazon Personalize ()[Creazione di un ruolo IAM per Amazon Personalize](set-up-required-permissions.md#set-up-create-role-with-permissions).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"personalize.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:personalize:us-east-1:444455556666:*"
}
}
}
]
}
```
------
# Esempi di policy basate sull'identità per Amazon Personalize
Per impostazione predefinita, gli utenti e i ruoli non sono autorizzati a creare o modificare risorse Amazon Personalize. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
*Per dettagli sulle azioni e sui tipi di risorse definiti da Amazon Personalize, incluso il formato di ARNs per ogni tipo di risorsa, consulta [Azioni, risorse e chiavi di condizione per Amazon Personalize](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpersonalize.html) nel Service Authorization Reference.*
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [AWS politiche gestite](#using-managed-policies)
+ [Utilizzo della console Amazon Personalize](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Consentire l'accesso completo alle risorse di Amazon Personalize](#security_iam_id-based-policy-examples-full-access)
+ [Consentire l'accesso in sola lettura alle risorse di Amazon Personalize](#security_iam_id-based-policy-examples-read-only)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare risorse Amazon Personalize nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le politiche AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## AWS politiche gestite
AWS le politiche gestite sono politiche create e gestite da AWS. Di seguito sono riportati alcuni esempi di policy AWS gestite che potresti utilizzare quando lavori con Amazon Personalize.
**AmazonPersonalizeFullAccess Policy**
Puoi utilizzare la `AmazonPersonalizeFullAccess` policy AWS gestita per concedere agli utenti le seguenti autorizzazioni:
+ Accedi a tutte le risorse di Amazon Personalize
+ Pubblica ed elenca le metriche su Amazon CloudWatch
+ Elenca, leggi, scrivi ed elimina tutti gli oggetti in un bucket Amazon S3 che contiene `Personalize` o è `personalize` nel nome del bucket
+ Trasferisci un ruolo ad Amazon Personalize
`AmazonPersonalizeFullAccess`fornisce più autorizzazioni del necessario. Consigliamo di creare una nuova policy IAM che conceda solo le autorizzazioni necessarie (vedi). [Autorizzare Amazon Personalize ad accedere alle tue risorse](set-up-required-permissions.md)
**CloudWatchFullAccess**
Per consentire ai tuoi utenti di monitorare Amazon Personalize con CloudWatch, allega la `CloudWatchFullAccess` policy al tuo ruolo. Per ulteriori informazioni, consulta [Monitoraggio di Amazon Personalize con Amazon CloudWatch](personalize-monitoring.md).
La `CloudWatchFullAccess` policy è facoltativa e concede l'autorizzazione per le seguenti azioni:
+ Pubblica ed elenca i parametri di Amazon Personalize in CloudWatch
+ Visualizza metriche e statistiche sui parametri.
+ Imposta allarmi basati su parametri metrici.
## Utilizzo della console Amazon Personalize
Per accedere alla console Amazon Personalize, devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse Amazon Personalize presenti nel tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l'API. AWS Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Consentire l'accesso completo alle risorse di Amazon Personalize
L'esempio seguente fornisce a un utente IAM del tuo AWS account l'accesso completo a tutte le risorse e le azioni di Amazon Personalize.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"personalize:*"
],
"Resource": "*"
}
]
}
```
------
## Consentire l'accesso in sola lettura alle risorse di Amazon Personalize
In questo esempio, concedi a un utente IAM del tuo AWS account l'accesso in sola lettura alle tue risorse Amazon Personalize, inclusi set di dati Amazon Personalize, gruppi di set di dati, soluzioni e campagne.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"personalize:DescribeAlgorithm",
"personalize:DescribeBatchInferenceJob",
"personalize:DescribeBatchSegmentJob",
"personalize:DescribeCampaign",
"personalize:DescribeDataset",
"personalize:DescribeDatasetExportJob",
"personalize:DescribeDatasetGroup",
"personalize:DescribeDatasetImportJob",
"personalize:DescribeEventTracker",
"personalize:DescribeFeatureTransformation",
"personalize:DescribeFilter",
"personalize:DescribeRecipe",
"personalize:DescribeRecommender",
"personalize:DescribeSchema",
"personalize:DescribeSolution",
"personalize:DescribeSolutionVersion",
"personalize:GetSolutionMetrics",
"personalize:ListBatchInferenceJobs",
"personalize:ListBatchSegmentJobs",
"personalize:ListCampaigns",
"personalize:ListDatasetExportJobs",
"personalize:ListDatasetGroups",
"personalize:ListDatasetImportJobs",
"personalize:ListDatasets",
"personalize:ListEventTrackers",
"personalize:ListFilters",
"personalize:ListRecipes",
"personalize:ListRecommenders",
"personalize:ListSchemas",
"personalize:ListSolutions",
"personalize:ListSolutionVersions"
],
"Resource": "*"
}
]
}
```
------
# Risoluzione dei problemi relativi all'identità e all'accesso di Amazon Personalize
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con Amazon Personalize e IAM.
**Topics**
+ [Non sono autorizzato a eseguire un'azione in Amazon Personalize](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse Amazon Personalize](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un'azione in Amazon Personalize
Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.
L’errore di esempio seguente si verifica quando l’utente IAM `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `personalize:GetWidget` fittizie.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: personalize:GetWidget on resource: my-example-widget
```
In questo caso, la policy per l’utente `mateojackson` deve essere aggiornata per consentire l’accesso alla risorsa `my-example-widget` utilizzando l’azione `personalize:GetWidget`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue politiche devono essere aggiornate per consentirti di trasferire un ruolo ad Amazon Personalize.
Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in Amazon Personalize. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse Amazon Personalize
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per consentire alle persone di accedere alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Amazon Personalize supporta queste funzionalità, consulta. [Come funziona Amazon Personalize con IAM](security_iam_service-with-iam.md)
+ Per sapere come fornire l'accesso alle tue risorse su tutto Account AWS ciò che possiedi, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente di IAM*.
# Monitoraggio di Amazon Personalize con Amazon CloudWatch
Con Amazon CloudWatch, puoi ottenere metriche associate ad Amazon Personalize. È possibile impostare allarmi per ricevere una notifica quando uno o più di questi parametri ricadono al di fuori di una soglia definita. Per visualizzare le metriche, puoi utilizzare [Amazon CloudWatch](https://console.aws.amazon.com/cloudwatch/) AWS Command Line Interface, [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/cli/) o l'[CloudWatch API](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/).
**Topics**
+ [Utilizzo dei CloudWatch parametri per Amazon Personalize](#using-metrics)
+ [Accesso ai parametri di Amazon Personalize](#how-to-access)
+ [Creazione di un allarme](#alarms)
+ [Esempio di app di monitoraggio senza server Amazon Personalize](#creating-monitor-app)
+ [CloudWatch metriche per Amazon Personalize](cloudwatch-metrics.md)
## Utilizzo dei CloudWatch parametri per Amazon Personalize
Per utilizzare le metriche, devi specificare le seguenti informazioni:
+ Il nome della metrica.
+ La dimensione della metrica. Una *dimensione* è una coppia nome-valore che consente di identificare una metrica in modo univoco.
Puoi ottenere dati di monitoraggio per Amazon Personalize utilizzando l' Console di gestione AWS AWS CLI, l'o l' CloudWatch API. Puoi anche utilizzare l' CloudWatch API tramite uno dei AWS SDKs nostri strumenti CloudWatch API. La console mostra una serie di grafici basati sui dati grezzi dell' CloudWatch API. In base alle tue esigenze, potresti decidere di utilizzare i grafici visualizzati nella console o quelli recuperati dall'API.
L'elenco seguente mostra alcuni usi comuni dei parametri. Questi suggerimenti sono solo introduttivi e non costituiscono un elenco completo.
| Come...? | Parametro pertinente |
| --- | --- |
| Come monitorare il numero di eventi che sono stati registrati. | Monitorare il parametro `PutEventsRequests`. |
| Come posso monitorare gli DatasetImportJob errori? | Utilizza la metrica `DatasetImportJobError`. |
| Come è possibile monitorare la latenza delle chiamate `GetRecommendations`? | Utilizza la metrica `GetRecommendationsLatency`. |
Devi disporre delle CloudWatch autorizzazioni appropriate con cui monitorare Amazon CloudWatch Personalize. Per ulteriori informazioni, consulta [Autenticazione e controllo degli accessi per Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/auth-and-access-control-cw.html).
## Accesso ai parametri di Amazon Personalize
Gli esempi seguenti mostrano come accedere ai parametri di Amazon Personalize utilizzando la CloudWatch console, l'e l' AWS CLI API. CloudWatch
**Come visualizzare le metriche (console)**
1. Accedi Console di gestione AWS e apri la CloudWatch console all'indirizzo. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)
1. Scegli **Metriche**, scegli la scheda **Tutte le metriche**, quindi scegli. `AWS/Personalize`
1. Scegli la dimensione delle metriche.
1. Selezionare il parametro desiderato dall'elenco e scegliere un periodo di tempo per il grafico.
**Per visualizzare i parametri per gli eventi ricevuti in un periodo di tempo (CLI).**
+ Apri AWS CLI e inserisci il seguente comando:
```
aws cloudwatch get-metric-statistics \
--metric-name PutEventsRequests \
--start-time 2019-03-15T00:00:20Z \
--period 3600 \
--end-time 2019-03-16T00:00:00Z \
--namespace AWS/Personalize \
--dimensions Name=EventTrackerArn,Value=EventTrackerArn \
--statistics Sum
```
Questo esempio mostra gli eventi ricevuti per l’ARN del tracciatore eventi determinato in un periodo di tempo. Per ulteriori informazioni, consulta [get-metric-statistics](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/get-metric-statistics.html).
**Per accedere alle metriche (CloudWatch API)**
+ Chiama `[GetMetricStatistics](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricStatistics.html)`. Per ulteriori informazioni, consulta [Amazon CloudWatch API Reference](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/).
## Creazione di un allarme
Puoi creare un CloudWatch allarme che invia un messaggio Amazon Simple Notification Service (Amazon SNS) quando l'allarme cambia stato. Un allarme monitora un singolo parametro per un periodo di tempo specificato. L'allarme esegue una o più operazioni basate sul valore del parametro relativo a una soglia prestabilita per un certo numero di periodi. L'azione è una notifica inviata a un argomento o a una AWS Auto Scaling policy di Amazon SNS.
Gli allarmi richiamano azioni solo per modifiche di stato sostenute. CloudWatch gli allarmi non richiamano azioni semplicemente perché si trovano in uno stato particolare. È necessario che lo stato cambi e rimanga costante per un periodo specificato
**Come impostare un allarme (console)**
1. Accedi a Console di gestione AWS e apri la CloudWatch console all'indirizzo. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)
1. Nel riquadro di navigazione, seleziona **Alarms (Allarmi)**, quindi **Crea Alarm (Crea allarme)**. Viene avviata la **procedura guidata per la creazione di allarmi**.
1. Scegli **Seleziona metrica**.
1. Nella scheda **Tutte le metriche**, scegli`AWS/Personalize`.
1. Scegli **EventTrackerArn**, quindi scegli le **PutEventsRequests**metriche.
1. Seleziona la scheda **Graphed metrics** (Parametri nel grafico).
1. Per **Statistic (Statistica)**, scegli **Sum (Somma)**.
1. Scegli **Seleziona metrica**.
1. Compila i campi **Name** (Nome) e **Description** (Descrizione). Per **Whenever (Ogni volta)**, scegliere **>** e inserire un valore massimo che si preferisce.
1. Se desideri CloudWatch inviarti un'e-mail quando viene raggiunto lo stato di allarme, per **Ogni volta che questo allarme:**, scegli **Lo stato è ALLARME**. Per inviare allarmi a un argomento Amazon SNS esistente, in **Invia notifica a:**, scegli un argomento SNS esistente. Per impostare il nome e gli indirizzi e-mail per una nuova lista di sottoscrizioni e-mail, scegli **Nuova lista**. CloudWatch salva l'elenco e lo visualizza sul campo in modo da poterlo utilizzare per impostare allarmi futuri.
**Nota**
Se utilizzi **New list** per creare un nuovo argomento Amazon SNS, gli indirizzi e-mail devono essere verificati prima che i destinatari previsti ricevano le notifiche. Le e-mail vengono inviate da Amazon SNS solo quando l'allarme passa allo stato definito. Se lo stato cambia prima della verifica degli indirizzi e-mail, i destinatari previsti non riceveranno una notifica.
1. Scegli **Crea allarme**.
**Per impostare un allarme (AWS CLI)**
+ Apri AWS CLI, quindi inserisci il seguente comando. Modifica il valore del `alarm-actions` parametro per fare riferimento a un argomento di Amazon SNS creato in precedenza.
```
aws cloudwatch put-metric-alarm \
--alarm-name PersonalizeCLI \
--alarm-description "Alarm when more than 10 events occur" \
--metric-name PutEventsRequests \
--namespace AWS/Personalize \
--statistic Sum \
--period 300 \
--threshold 10 \
--comparison-operator GreaterThanThreshold \
--evaluation-periods 1 \
--unit Count \
--dimensions Name=EventTrackerArn,Value=EventTrackerArn \
--alarm-actions SNSTopicArn
```
Questo esempio illustra come creare un allarme per quando si verificano più di 10 eventi per un determinato ARN del tracciatore di eventi in 5 minuti. Per ulteriori informazioni, consulta [put-metric-alarm](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/put-metric-alarm.html).
**Per impostare un allarme (CloudWatch API)**
+ Chiama `[PutMetricAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html)`. Per ulteriori informazioni, consulta *[Amazon CloudWatch API Reference](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/)*.
## Esempio di app di monitoraggio senza server Amazon Personalize
Per un'app di esempio che aggiunge funzionalità di monitoraggio, avviso e ottimizzazione per Amazon Personalize, consulta Amazon [Personalize monitor nell'archivio degli esempi di Amazon [Personalize](https://github.com/aws-samples/amazon-personalize-samples)](https://github.com/aws-samples/amazon-personalize-monitor).
# CloudWatch metriche per Amazon Personalize
Questa sezione contiene informazioni sui CloudWatch parametri Amazon disponibili per Amazon Personalize. Per ulteriori informazioni, consulta [Monitoraggio di Amazon Personalize con Amazon CloudWatch](personalize-monitoring.md).
La tabella seguente elenca i parametri di Amazon Personalize. Tutte le metriche tranne GetRecommendations e GetPersonalizedRanking supportano queste statistiche:. `Average, Minimum, Maximum, Sum` GetRecommendations e `Sum` solo GetPersonalizedRanking supporto.
| Metrica | Description |
| --- | --- |
| DatasetImportJobRequests | Il numero di chiamate API [CreateDatasetImportJob](API_CreateDatasetImportJob.md) eseguite correttamente. Dimensioni: `DatasetGroupArn, DatasetArn, DatasetImportJobArn` |
| DatasetImportJobError | Il numero di chiamate API `CreateDatasetImportJob` che hanno generato un errore. Dimensioni: `DatasetGroupArn, DatasetArn, DatasetImportJobArn` |
| DatasetImportJobExecutionTime | L'intervallo di tempo tra la chiamata API `CreateDatasetImportJob` e il completamento (o l’errore) dell'operazione. Dimensioni: `DatasetGroupArn, DatasetArn, DatasetImportJobArn` Unità: secondi |
| DatasetSize | Le dimensioni dei dati importati dal processo di importazione del set di dati. Dimensioni: `DatasetGroupArn, DatasetArn, DatasetImportJobArn` Unità: byte |
| SolutionTrainingJobRequests | Il numero di chiamate API [CreateSolutionVersion](API_CreateSolutionVersion.md) eseguite correttamente. Dimensioni: `SolutionArn, SolutionVersionArn` |
| SolutionTrainingJobError | Il numero di chiamate API `CreateSolutionVersion` che hanno generato un errore. Dimensioni: `SolutionArn, SolutionVersionArn` |
| SolutionTrainingJobExecutionTime | L'intervallo di tempo tra la chiamata API `CreateSolutionVersion` e il completamento (o l’errore) dell'operazione. Dimensioni: `SolutionArn, SolutionVersionArn` Unità: secondi |
| GetPersonalizedRanking | Se una chiamata [GetPersonalizedRanking](API_RS_GetPersonalizedRanking.md) API ha esito positivo. Utilizza la `sum` statistica per visualizzare il numero totale di chiamate GetPersonalizedRanking API riuscite. Questa metrica non supporta altre statistiche. Dimensione: `CampaignArn` |
| GetPersonalizedRanking4xxErrors | Il numero di chiamate API `GetPersonalizedRanking` che hanno restituito un codice di risposta HTTP 4xx. Dimensione: `CampaignArn` |
| GetPersonalizedRanking5xxErrors | Il numero di chiamate API `GetPersonalizedRanking` che hanno restituito un codice di risposta HTTP 5xx. Dimensione: `CampaignArn` |
| GetPersonalizedRankingLatency | Il periodo di tempo tra la ricezione della chiamata API `GetPersonalizedRanking` e l'invio di raccomandazioni (sono esclusi gli errori 4xx e 5xx). Dimensione: `CampaignArn` Unità: millisecondi |
| GetRecommendations | Se una chiamata [GetRecommendations](API_RS_GetRecommendations.md) API ha esito positivo. Utilizza la `sum` statistica per visualizzare il numero totale di chiamate GetRecommendations API riuscite. Questa metrica non supporta altre statistiche. Dimensione: `CampaignArn` |
| GetRecommendations4xxErrors | Il numero di chiamate API `GetRecommendations` che hanno restituito un codice di risposta HTTP 4xx. Dimensione: `CampaignArn` |
| GetRecommendationsErrori 5xx | Il numero di chiamate API `GetRecommendations` che hanno restituito un codice di risposta HTTP 5xx. Dimensione: CampaignArn |
| GetRecommendationsLatency | Il periodo di tempo tra la ricezione della chiamata API `GetRecommendations` e l'invio di raccomandazioni (sono esclusi gli errori 4xx e 5xx). Dimensione: `CampaignArn` Unità: millisecondi |
| PutEventsRequests | Il numero di chiamate API [PutEvents](API_UBS_PutEvents.md) eseguite correttamente. Dimensione: ` DatasetGroupArn, DatasetArn, EventTrackerArn` |
| PutEvents4xxErrors | Il numero di chiamate API `PutEvents` che hanno restituito un codice di risposta HTTP 4xx. Dimensione: ` DatasetGroupArn, DatasetArn, EventTrackerArn` |
| PutEvents5xxErrors | Il numero di chiamate API `PutEvents` che hanno restituito un codice di risposta HTTP 5xx. Dimensione: ` DatasetGroupArn, DatasetArn, EventTrackerArn` |
| PutEventLatency | Il tempo necessario per il completamento della chiamata API `PutEvents` (sono esclusi gli errori 4xx e 5xx). Dimensione: ` DatasetGroupArn, DatasetArn, EventTrackerArn` Unità: millisecondi |
| PutItemsRequests | Il numero di chiamate API [PutItems](API_UBS_PutItems.md) eseguite correttamente. Dimensione: ` DatasetGroupArn, DatasetArn` |
| PutItems4xxErrors | Il numero di chiamate API `PutItems` che hanno restituito un codice di risposta HTTP 4xx. Dimensione: ` DatasetGroupArn, DatasetArn` |
| PutItems5xxErrors | Il numero di chiamate API `PutItems` che hanno restituito un codice di risposta HTTP 5xx. Dimensione: ` DatasetGroupArn, DatasetArn` |
| PutItemsLatency | Il tempo necessario per il completamento della chiamata API `PutItems` (sono esclusi gli errori 4xx e 5xx). Dimensione: ` DatasetGroupArn, DatasetArn` Unità: millisecondi |
| PutUsersRequests | Il numero di chiamate API [PutUsers](API_UBS_PutUsers.md) eseguite correttamente. Dimensione: ` DatasetGroupArn, DatasetArn` |
| PutUsers4xxErrors | Il numero di chiamate API `PutUsers` che hanno restituito un codice di risposta HTTP 4xx. Dimensione: ` DatasetGroupArn, DatasetArn` |
| PutUsers5xxErrors | Il numero di chiamate API `PutUsers` che hanno restituito un codice di risposta HTTP 5xx. Dimensione: ` DatasetGroupArn, DatasetArn` |
| PutUsersLatency | Il tempo necessario per il completamento della chiamata API `PutUsers` (sono esclusi gli errori 4xx e 5xx). Dimensione: ` DatasetGroupArn, DatasetArn` Unità: millisecondi |
# Registrazione delle chiamate API di Amazon Personalize con AWS CloudTrail
Amazon Personalize è integrato con AWS CloudTrail un servizio che fornisce un registro delle azioni intraprese da un utente, un ruolo o un AWS servizio in Amazon Personalize. CloudTrail acquisisce un sottoinsieme di chiamate API per Amazon Personalize come eventi, incluse le chiamate dalla console Amazon Personalize e le chiamate in codice ad Amazon Personalize. APIs Se crei un trail, puoi abilitare la distribuzione continua di CloudTrail eventi a un bucket Amazon S3, inclusi gli eventi per Amazon Personalize. **Se non configuri un percorso, puoi comunque visualizzare gli eventi più recenti nella CloudTrail console nella cronologia degli eventi.** Utilizzando le informazioni raccolte da CloudTrail, puoi determinare la richiesta che è stata effettuata ad Amazon Personalize, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e dettagli aggiuntivi.
Per saperne di più CloudTrail, incluso come configurarlo e abilitarlo, consulta la [Guida per l'AWS CloudTrail utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## Amazon Personalizza le informazioni in CloudTrail
CloudTrail è abilitato sul tuo AWS account al momento della creazione dell'account. **Quando si verifica un'attività di evento supportata in Amazon Personalize, tale attività viene registrata in un CloudTrail evento insieme ad altri eventi di AWS servizio nella cronologia degli eventi.** Puoi visualizzare, cercare e scaricare eventi recenti nel tuo AWS account. Per ulteriori informazioni, consulta [Visualizzazione degli eventi con cronologia degli CloudTrail eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Per una registrazione continua degli eventi nel tuo AWS account, inclusi gli eventi per Amazon Personalize, crea un percorso. Un trail consente di CloudTrail inviare file di log a un bucket Amazon S3. Per impostazione predefinita, quando crei un trail nella console, il trail è valido per tutte le Regioni . Il trail registra gli eventi da tutte le regioni della AWS partizione e consegna i file di log al bucket Amazon S3 specificato. Inoltre, puoi configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei log. CloudTrail Per ulteriori informazioni, consulta:
+ [Panoramica della creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail servizi e integrazioni supportati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configurazione delle notifiche Amazon SNS per CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Ricezione di file di CloudTrail registro da più regioni](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [ricezione di file di CloudTrail registro da più](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html) account
Amazon Personalize supporta la registrazione di ogni azione (operazione API) come evento nei CloudTrail file di registro. Per ulteriori informazioni, consulta [Azioni](API_Operations.md).
Ogni evento o voce di registro contiene informazioni sull'utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:
+ Se la richiesta è stata effettuata con credenziali utente o root.
+ Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.
+ Se la richiesta è stata effettuata da un altro AWS servizio.
Per ulteriori informazioni, consulta [Elemento CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Esempio: Amazon Personalize (voci dei file di registro)
Un trail è una configurazione che consente la distribuzione di eventi come file di log in un bucket Amazon S3 specificato dall'utente. CloudTrail i file di registro contengono una o più voci di registro. Un evento rappresenta una singola richiesta proveniente da qualsiasi fonte e include informazioni sull'azione richiesta, la data e l'ora dell'azione, i parametri della richiesta e così via. CloudTrail i file di registro non sono una traccia ordinata dello stack delle chiamate API pubbliche, quindi non vengono visualizzati in un ordine specifico.
L'esempio seguente mostra una voce di CloudTrail registro con azioni per il funzionamento dell' ListDatasetGroups API. Nota che, poiché l'operazione ListDatasetGroups API è un'azione che non cambia lo stato, la `responseElements` risposta è nulla. Per ulteriori informazioni sul corpo dei CloudTrail record, consulta il [contenuto del CloudTrail record](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html).
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "principal-id",
"arn": "arn:aws:iam::user-arn",
"accountId": "account-id",
"accessKeyId": "access-key",
"userName": "user-name"
},
"eventTime": "2018-11-22T02:18:03Z",
"eventSource": "personalize.amazonaws.com",
"eventName": "ListDatasetGroups",
"awsRegion": "us-west-2",
"sourceIPAddress": "source-ip-address",
"userAgent": "aws-cli/1.11.16 Python/2.7.11 Darwin/15.6.0 botocore/1.4.73",
"requestParameters": null,
"responseElements": null,
"requestID": "request-id",
"eventID": "event-id",
"eventType": "AwsApiCall",
"recipientAccountId": "recipient-account-id"
}
```
# Convalida della conformità per Amazon Personalize
Revisori di terze parti valutano la sicurezza e la conformità di Amazon Personalize nell'ambito di AWS diversi programmi di conformità. Sono inclusi SOC, PCI e HIPAA.
Per un elenco dei AWS servizi che rientrano nell'ambito di specifici programmi di conformità, consulta la sezione [AWS Servizi rientranti nell'ambito dei programmi di conformità (AWS servizi compresi](https://aws.amazon.com/compliance/services-in-scope/) ). Per informazioni generali, vedere programmi di [AWS conformità, programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La tua responsabilità di conformità quando usi Amazon Personalize è determinata dalla sensibilità dei tuoi dati, dagli obiettivi di conformità della tua azienda e dalle leggi e dai regolamenti applicabili. AWS fornisce le seguenti risorse per contribuire alla conformità:
+ [Guide introduttive](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) su su sicurezza e conformità: queste guide all'implementazione illustrano considerazioni sull'architettura e forniscono passaggi per implementare ambienti di base incentrati sulla sicurezza e la conformità. AWS
+ [Whitepaper sull'architettura per la sicurezza e la conformità HIPAA](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html): scopri come utilizzarli AWS per eseguire carichi di lavoro sensibili regolati dall'U.S. Health Insurance Portability and Accountability Act (HIPAA).
+ [AWS risorse per la conformità e risorse per AWS](https://aws.amazon.com/compliance/resources/) : questa raccolta di cartelle di lavoro e guide potrebbe essere valida per il tuo settore e la tua località.
+ [Valutazione delle risorse in base alle regole contenute](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) nella *Guida per gli AWS Config sviluppatori*: il AWS Config servizio valuta la conformità delle configurazioni delle risorse alle pratiche interne, alle linee guida del settore e alle normative.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Questo AWS servizio offre una visione completa dello stato di sicurezza dell'utente, AWS che consente di verificare la conformità agli standard e alle best practice del settore della sicurezza.
# Resilienza in Amazon Personalize
L'infrastruttura AWS globale è costruita attorno a AWS regioni e zone di disponibilità. AWS Le regioni forniscono più zone di disponibilità fisicamente separate e isolate, collegate con reti a bassa latenza, ad alto throughput e altamente ridondanti. Con le zone di disponibilità è possibile progettare e gestire applicazioni e database che eseguono automaticamente il failover tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture a data center singolo o multiplo tradizionali.
Amazon Personalize sfrutta l'infrastruttura AWS globale per la resilienza dei dati. Quando crei una risorsa Amazon Personalize in una AWS regione, Amazon Personalize gestisce la resilienza e la ridondanza dei dati della risorsa su più zone di disponibilità. Per un elenco delle AWS regioni in cui è possibile creare risorse Amazon Personalize, consulta le [AWS regioni e gli endpoint](https://docs.aws.amazon.com/general/latest/gr/personalize.html) nell'*Amazon Web Services* General Reference. Per ulteriori informazioni su AWS regioni e zone di disponibilità, consulta l'infrastruttura [AWS globale](https://aws.amazon.com/about-aws/global-infrastructure/).
# Sicurezza dell'infrastruttura in Amazon Personalize
In quanto servizio gestito, Amazon Personalize è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi di AWS sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizza chiamate API AWS pubblicate per accedere ad Amazon Personalize attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
# Amazon Personalizza e interfaccia gli endpoint VPC ()AWS PrivateLink
Se utilizzi Amazon Virtual Private Cloud (Amazon VPC) per ospitare AWS le tue risorse, puoi stabilire una connessione privata tra il tuo VPC e Amazon Personalize. Questa connessione consente ad Amazon Personalize di comunicare con le tue risorse sul tuo VPC senza passare attraverso la rete Internet pubblica.
Amazon VPC è un software Servizio AWS che usi per lanciare AWS risorse in un cloud privato virtuale (VPC) o in una rete virtuale da te definita. Con un VPC;, detieni il controllo delle impostazioni della rete, come l'intervallo di indirizzi IP, le sottoreti, le tabelle di routing e i gateway di rete. Con gli endpoint VPC, la AWS rete gestisce il routing tra il tuo VPC e. Servizi AWS
Per connettere il tuo VPC ad Amazon Personalize, definisci un endpoint VPC di interfaccia per Amazon Personalize. Un endpoint di interfaccia è un'interfaccia di rete elastica con un indirizzo IP privato che funge da punto di ingresso per il traffico destinato a un supporto. Servizio AWS L'endpoint fornisce una connettività affidabile e scalabile ad Amazon Personalize. Non richiede un gateway Internet, un'istanza NAT (Network Address Translation) o una connessione VPN. Per ulteriori informazioni, consulta [Che cos'è Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/) nella *Guida per l'utente di Amazon VPC*.
Gli endpoint VPC dell'interfaccia sono abilitati da. AWS PrivateLink Questa AWS tecnologia consente la comunicazione privata tra Servizi AWS di loro utilizzando un'interfaccia di rete elastica con indirizzi IP privati.
**Nota**
Tutti gli endpoint Amazon Personalize Federal Information Processing Standard (FIPS) sono supportati da. AWS PrivateLink
**Topics**
+ [Creazione di un endpoint VPC di interfaccia per Amazon Personalize](#vpc-endpoint-create)
+ [Creazione di una policy sugli endpoint VPC per Amazon Personalize](#vpc-endpoint-policy)
## Creazione di un endpoint VPC di interfaccia per Amazon Personalize
Puoi creare un endpoint VPC per il servizio Amazon Personalize con la console Amazon VPC o il (). AWS Command Line Interface AWS CLI Per ulteriori informazioni, consulta [Accedere a un AWS servizio utilizzando un endpoint VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint) nella Amazon *VPC* User Guide.
Per creare un endpoint VPC per Amazon Personalize, scegli una delle seguenti opzioni per il servizio. Puoi scegliere di creare un endpoint ipv4, ipv6 o dualstack.
+ com.amazonaws. *region*.personalizzare
+ com.amazonaws. *region*.personalizza gli eventi
+ com.amazonaws. *region*.personalize-runtime
Se abiliti il DNS privato per l'endpoint, puoi effettuare richieste API ad Amazon Personalize utilizzando il nome DNS predefinito per la regione, ad esempio. `personalize.us-east-1.api.aws`
## Creazione di una policy sugli endpoint VPC per Amazon Personalize
Puoi allegare una policy per gli endpoint al tuo endpoint VPC che controlla l'accesso ad Amazon Personalize. La policy specifica le informazioni riportate di seguito:
+ Il principale che può eseguire operazioni.
+ Le azioni che possono essere eseguite.
+ Le risorse sui cui si possono eseguire operazioni.
Per ulteriori informazioni, consulta [Controllo degli accessi ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) in *Guida per l'utente di Amazon VPC*.
**Esempio: policy sugli endpoint VPC che consente tutte le azioni Amazon Personalize e PassRole**
Se collegata a un endpoint, questa policy garantisce l'accesso a tutte le azioni Amazon Personalize e PassRole.
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"personalize:*",
"iam:PassRole"
],
"Resource": "*"
}
]
}
```
**Esempio: policy sugli endpoint VPC che consente azioni di Amazon Personalize ListDatasets**
Se collegata a un endpoint, questa policy consente l'accesso alle azioni Amazon ListDatasets Personalize elencate.
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"personalize:ListDatasets"
],
"Resource": "*"
}
]
}
```