Per funzionalità simili a Amazon Timestream for, prendi in considerazione Amazon Timestream LiveAnalytics per InfluxDB. Offre un'acquisizione semplificata dei dati e tempi di risposta alle query di una sola cifra di millisecondi per analisi in tempo reale. [Scopri](https://docs.aws.amazon.com//timestream/latest/developerguide/timestream-for-influxdb.html) di più qui.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione delle identità e degli accessi per Amazon Timestream for LiveAnalytics
AWS Identity and Access Management (IAM) è un software Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato (disporre delle autorizzazioni*) a utilizzare Timestream per le risorse. LiveAnalytics IAM è uno strumento Servizio AWS che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come funziona Amazon Timestream for con IAM LiveAnalytics](security_iam_service-with-iam.md)
+ [AWS politiche gestite per Amazon Timestream Live Analytics](security-iam-awsmanpol.md)
+ [Amazon Timestream LiveAnalytics per esempi di policy basate sull'identità](security_iam_id-based-policy-examples.md)
+ [Risoluzione dei problemi relativi all'identità e all'accesso di Amazon Timestream LiveAnalytics](security_iam_troubleshoot.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi relativi all'identità e all'accesso di Amazon Timestream LiveAnalytics](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come funziona Amazon Timestream for con IAM LiveAnalytics](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Amazon Timestream LiveAnalytics per esempi di policy basate sull'identità](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee nella Guida per l'](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Elenchi di controllo degli accessi () ACLs
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
Amazon S3 e Amazon VPC sono esempi di servizi che supportano. AWS WAF ACLs Per ulteriori informazioni ACLs, consulta la [panoramica della lista di controllo degli accessi (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Amazon Simple Storage Service Developer Guide*.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come funziona Amazon Timestream for con IAM LiveAnalytics
Prima di utilizzare IAM per gestire l'accesso a Timestream for LiveAnalytics, è necessario comprendere per quali funzionalità IAM sono disponibili per l'uso con Timestream. LiveAnalytics *Per avere una visione di alto livello di come Timestream for LiveAnalytics e altri AWS servizi funzionano con IAM, consulta [AWS Services That Work with IAM nella IAM User Guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
**Topics**
+ [Timestream per politiche basate sull'identità LiveAnalytics](#security_iam_service-with-iam-id-based-policies)
+ [Timestream per politiche basate sulle risorse LiveAnalytics](#security_iam_service-with-iam-resource-based-policies)
+ [Autorizzazione basata su Timestream per i tag LiveAnalytics](#security_iam_service-with-iam-tags)
+ [Timestream per i ruoli IAM LiveAnalytics](#security_iam_service-with-iam-roles)
## Timestream per politiche basate sull'identità LiveAnalytics
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Timestream for LiveAnalytics supporta azioni e risorse specifiche e chiavi di condizione. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta [Documentazione di riferimento degli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l'utente IAM*.
### Azioni
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
È possibile specificare le seguenti azioni nell'elemento Action di una dichiarazione di policy IAM. Utilizza le policy per concedere le autorizzazioni per eseguire un'operazione in AWS. Quando si utilizza un'azione in una policy, in genere si consente o si nega l'accesso all'operazione API, al comando CLI o al comando SQL con lo stesso nome.
In alcuni casi, una singola azione controlla l'accesso a un'operazione API e al comando SQL. In alternativa, alcune operazioni richiedono operazioni differenti.
Per un elenco dei Timestream supportati per LiveAnalytics `Action`'s, consulta la tabella seguente:
**Nota**
Per tutti i database specifici`Actions`, è possibile specificare un ARN del database per limitare l'azione a un determinato database.
| Azioni | Descrizione | Livello di accesso | Tipi di risorsa (\$1obbligatorio) |
| --- | --- | --- | --- |
| DescribeEndpoints | Restituisce l'endpoint Timestream a cui devono essere fatte le richieste successive. | Tutti | \$1 |
| Select | Esegui query su Timestream che selezionano i dati da una o più tabelle. [Consulta questa nota per una spiegazione dettagliata](#security_iam_service-with-iam-id-based-policies-actions.select-vs-selectvalues) | Lettura | tabella\$1 |
| CancelQuery | Annullare una richiesta. | Lettura | \$1 |
| ListTables | Ottieni l'elenco delle tabelle. | List | database\$1 |
| ListDatabases | Ottieni l'elenco dei database. | List | \$1 |
| ListMeasures | Ottieni l'elenco delle misure. | Lettura | tabella\$1 |
| DescribeTable | Ottieni la descrizione della tabella. | Lettura | tavolo\$1 |
| DescribeDatabase | Ottieni la descrizione del database. | Lettura | database\$1 |
| SelectValues | Esegui query che non richiedono la specificazione di una risorsa particolare. [Per una spiegazione dettagliata, consulta questa nota](#security_iam_service-with-iam-id-based-policies-actions.select-vs-selectvalues). | Lettura | \$1 |
| WriteRecords | Inserisci i dati in Timestream. | Scrittura | tabella\$1 |
| CreateTable | Creare una tabella. | Scrittura | database\$1 |
| CreateDatabase | Crea un database. | Scrittura | \$1 |
| DeleteDatabase | Eliminare un database. | Scrittura | \$1 |
| UpdateDatabase | Aggiornare un database. | Scrittura | \$1 |
| DeleteTable | Eliminare una tabella. | Scrittura | database\$1 |
| UpdateTable | Aggiorna una tabella. | Scrittura | database\$1 |
#### SelectValues vs. seleziona:
`SelectValues`è un file `Action` che viene utilizzato per le interrogazioni che *non* richiedono una risorsa. Un esempio di query che non richiede una risorsa è il seguente:
```
SELECT 1
```
Notate che questa query non si riferisce a un particolare flusso temporale per la LiveAnalytics risorsa. Consideriamo un altro esempio:
```
SELECT now()
```
Questa query restituisce il timestamp corrente utilizzando la `now()` funzione, ma non richiede la specificazione di una risorsa. `SelectValues`viene spesso utilizzato per i test, in modo che Timestream for LiveAnalytics possa eseguire query senza risorse. Ora, considera una domanda: `Select`
```
SELECT * FROM database.table
```
Questo tipo di query richiede una risorsa, in particolare un Timestream per LiveAnalytics `table`, in modo che i dati specificati possano essere recuperati dalla tabella.
### Resources
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
In Timestream per LiveAnalytics database e tabelle può essere utilizzato nell'`Resource`elemento delle autorizzazioni IAM.
La risorsa Timestream for LiveAnalytics database ha il seguente ARN:
```
arn:${Partition}:timestream:${Region}:${Account}:database/${DatabaseName}
```
Il Timestream per la risorsa LiveAnalytics table ha il seguente ARN:
```
arn:${Partition}:timestream:${Region}:${Account}:database/${DatabaseName}/table/${TableName}
```
Per ulteriori informazioni sul formato di ARNs, consulta [Amazon Resource Names (ARNs) e AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Ad esempio, per specificare `database` lo spazio delle chiavi nella tua dichiarazione, usa il seguente ARN:
```
"Resource": "arn:aws:timestream:us-east-1:123456789012:database/mydatabase"
```
Per specificare tutti i database che appartengono a un account specifico, usa il carattere jolly (\$1):
```
"Resource": "arn:aws:timestream:us-east-1:123456789012:database/*"
```
Alcuni Timestream per LiveAnalytics le azioni, come quelle per la creazione di risorse, non possono essere eseguiti su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (\$1).
```
"Resource": "*"
```
### Chiavi di condizione
Timestream for LiveAnalytics non fornisce chiavi di condizione specifiche del servizio, ma supporta l'utilizzo di alcune chiavi di condizione globali. *Per visualizzare tutte le chiavi di condizione AWS globali, consulta [AWS Global Condition Context Keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) nella IAM User Guide.*
### Esempi
Per visualizzare esempi di Timestream per le politiche LiveAnalytics basate sull'identità, consulta. [Amazon Timestream LiveAnalytics per esempi di policy basate sull'identità](security_iam_id-based-policy-examples.md)
## Timestream per politiche basate sulle risorse LiveAnalytics
Timestream for non supporta le politiche basate sulle risorse. LiveAnalytics Per visualizzare un esempio di una pagina di policy basata su risorse dettagliata, consulta [https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html).
## Autorizzazione basata su Timestream per i tag LiveAnalytics
Puoi gestire l'accesso alle LiveAnalytics risorse del tuo Timestream utilizzando i tag. Per gestire l'accesso alle risorse in base ai tag, fornisci le informazioni sui tag nell'[elemento condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando i `timestream:ResourceTag/key-name` tasti`aws:RequestTag/key-name`, o `aws:TagKeys` condition. Per ulteriori informazioni sull'assegnazione di tag a Timestream per LiveAnalytics le risorse, consulta. [Aggiunta di tag ed etichette alle risorse](tagging-keyspaces.md)
Per visualizzare policy basate sulle identità di esempio per limitare l'accesso a una risorsa basata su tag su tale risorsa, consulta [Timestream per l'accesso alle LiveAnalytics risorse in base ai tag](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags).
## Timestream per i ruoli IAM LiveAnalytics
Un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) è un'entità all'interno del tuo AWS account che dispone di autorizzazioni specifiche.
### Utilizzo di credenziali temporanee con Timestream per LiveAnalytics
È possibile utilizzare credenziali temporanee per effettuare l'accesso con la federazione, assumere un ruolo IAM o un ruolo multi-account. È possibile ottenere credenziali di sicurezza temporanee chiamando operazioni AWS STS API come o. [AssumeRole[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)
### Ruoli collegati ai servizi
Timestream for LiveAnalytics non supporta i ruoli collegati ai servizi.
### Ruoli di servizio
Timestream for LiveAnalytics non supporta i ruoli di servizio.
# AWS politiche gestite per Amazon Timestream Live Analytics
Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
**Topics**
+ [AmazonTimestreamInfluxDBFullAccesso](#security-iam-awsmanpol-AmazonTimestreamInfluxDBFullAccess)
+ [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess)
+ [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess)
+ [AmazonTimestreamFullAccess](#security-iam-awsmanpol-AmazonTimestreamFullAccess)
+ [Aggiornamenti delle policy](#security-iam-awsmanpol-updates)
## AWS politica gestita: AmazonTimestreamInflux DBFull accesso
È possibile associare la policy `AmazonTimestreamInfluxDBFullAccess` a utenti, gruppi e ruoli. La policy di accesso per creare, aggiornare, eliminare ed elencare istanze Amazon Timestream InfluxDB.
**Dettagli dell’autorizzazione**
Questa policy include la seguente autorizzazione:
+ `Amazon Timestream`— Fornisce l'accesso amministrativo completo per creare, aggiornare, eliminare ed elencare istanze Amazon Timestream InfluxDB e creare ed elencare gruppi di parametri.
[Per rivedere questa politica in formato JSON, consulta Access. AmazonTimestreamInflux DBFull](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamInfluxDBFullAccess.html)
## AWS politica gestita: AmazonTimestreamReadOnlyAccess
È possibile associare la policy `AmazonTimestreamReadOnlyAccess` a utenti, gruppi e ruoli. La policy fornisce l'accesso in sola lettura ad Amazon Timestream.
**Dettagli dell’autorizzazione**
Questa policy include la seguente autorizzazione:
+ `Amazon Timestream`— Fornisce accesso in sola lettura ad Amazon Timestream. Questa politica concede inoltre l'autorizzazione ad annullare qualsiasi query in esecuzione.
Per esaminare questa politica in formato JSON, consulta. [AmazonTimestreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamReadOnlyAccess.html)
## AWS politica gestita: AmazonTimestreamConsoleFullAccess
È possibile associare la policy `AmazonTimestreamConsoleFullAccess` a utenti, gruppi e ruoli.
La policy fornisce l'accesso completo alla gestione di Amazon Timestream utilizzando. Console di gestione AWS Questa politica concede anche le autorizzazioni per determinate AWS KMS operazioni e operazioni di gestione delle query salvate.
**Dettagli dell’autorizzazione**
Questa policy include le seguenti autorizzazioni:
+ `Amazon Timestream`— Garantisce ai mandanti l'accesso completo ad Amazon Timestream.
+ `AWS KMS`— Consente ai mandanti di elencare gli alias e descrivere le chiavi.
+ `Amazon S3`— Consente ai responsabili di elencare tutti i bucket Amazon S3.
+ `Amazon SNS`— Consente ai responsabili di elencare gli argomenti di Amazon SNS.
+ `IAM`— Consente ai responsabili di elencare i ruoli IAM.
+ `DBQMS`: consente ai principali di accedere, creare, eliminare, descrivere e aggiornare le query. Il Database Query Metadata Service (dbqms) è un servizio solo interno. Fornisce le tue query recenti e salvate per l'editor di query su multipli Servizi AWS, incluso Amazon Timestream. Console di gestione AWS
+ `Pricing`— Consente ai responsabili di accedere alla stima dei prezzi per la configurazione delle risorse InfluxDB durante la creazione.
+ `Marketplace`— Consente ai responsabili di accedere alle risorse del marketplace e di creare accordi per la creazione di InfluxDB Cluster with Read Replicas.
Per rivedere questa politica in formato JSON, vedere. [AmazonTimestreamConsoleFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamConsoleFullAccess.html)
## AWS politica gestita: AmazonTimestreamFullAccess
È possibile associare la policy `AmazonTimestreamFullAccess` a utenti, gruppi e ruoli.
La policy fornisce l'accesso completo ad Amazon Timestream. Questa politica concede anche le autorizzazioni per determinate operazioni. AWS KMS
**Dettagli dell’autorizzazione**
Questa policy include le seguenti autorizzazioni:
+ `Amazon Timestream`— Garantisce ai mandanti l'accesso completo ad Amazon Timestream.
+ `AWS KMS`— Consente ai mandanti di elencare gli alias e descrivere le chiavi.
+ `Amazon S3`— Consente ai responsabili di elencare tutti i bucket Amazon S3.
Per rivedere questa politica in formato JSON, consulta. [AmazonTimestreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamFullAccess.html)
## Aggiornamenti di Timestream Live Analytics alle politiche gestite AWS
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per Timestream Live Analytics da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della [cronologia dei documenti di Timestream Live Analytics](doc-history.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess): aggiornamento a una policy esistente | Timestream for InfluxDB ha aggiunto l'ID del prodotto del marketplace Influx Enterprise alla politica `AmazonTimestreamInfluxDBFullAccess` gestita esistente per supportare l'abbonamento alle offerte del marketplace aziendale. Queste autorizzazioni sono limitate a prodotti AWS Marketplace specifici attraverso una condizione che limita l'accesso solo a determinati`ProductIds`. Vedi [AmazonTimestreamInfluxDBFullAccesso](https://docs.aws.amazon.com/timestream/latest/developerguide/security-iam-awsmanpol-influxdb.html#iam.identitybasedpolicies.predefinedpolicies). | 17 ottobre 2025 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess): aggiornamento di una policy esistente | Sono state aggiunte le autorizzazioni AWS Marketplace alla politica `AmazonTimestreamConsoleFullAccess` gestita esistente per accedere alle risorse del marketplace e creare accordi per la creazione di InfluxDB Cluster con Read Repliche. Timestream Live Analytics ha inoltre aggiornato questa politica gestita aggiungendo un campo. `Sid` L'aggiornamento della politica non influisce sull'utilizzo della politica `AmazonTimestreamConsoleFullAccess` gestita. | 20 agosto 2025 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess): aggiornamento di una policy esistente | È stata aggiunta l'`pricing:GetProducts`azione alla politica `AmazonTimestreamConsoleFullAccess` gestita esistente per fornire stime dei prezzi per le configurazioni delle risorse InfluxDB durante la creazione. L'aggiornamento della politica non influisce sull'utilizzo della politica gestita. `AmazonTimestreamConsoleFullAccess` | 10 giugno 2025 |
| [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess): aggiornamento di una policy esistente | L'`timestream:DescribeAccountSettings`azione è stata aggiunta alla politica `AmazonTimestreamReadOnlyAccess` gestita esistente. Questa azione viene utilizzata per descrivere Account AWS le impostazioni. Timestream Live Analytics ha inoltre aggiornato questa politica gestita aggiungendo un campo. `Sid` L'aggiornamento della politica non influisce sull'utilizzo della politica `AmazonTimestreamReadOnlyAccess` gestita. | 03 giugno 2024 |
| [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess): aggiornamento di una policy esistente | Sono state aggiunte le `timestream:ListBatchLoadTasks` azioni `timestream:DescribeBatchLoadTask` e alla politica `AmazonTimestreamReadOnlyAccess` gestita esistente. Queste azioni vengono utilizzate per elencare e descrivere le attività di caricamento in batch. L'aggiornamento della politica non influisce sull'utilizzo della politica `AmazonTimestreamReadOnlyAccess` gestita. | 24 febbraio 2023 |
| [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess): aggiornamento di una policy esistente | Sono state aggiunte le `timestream:ListScheduledQueries` azioni `timestream:DescribeScheduledQuery` e alla politica `AmazonTimestreamReadOnlyAccess` gestita esistente. Queste azioni vengono utilizzate per elencare e descrivere le interrogazioni pianificate esistenti. L'aggiornamento della politica non influisce sull'utilizzo della politica `AmazonTimestreamReadOnlyAccess` gestita. | 29 novembre 2021 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess): aggiornamento di una policy esistente | L'`s3:ListAllMyBuckets`azione è stata aggiunta alla politica `AmazonTimestreamConsoleFullAccess` gestita esistente. Questa azione viene utilizzata quando si specifica un bucket Amazon S3 per Timestream per registrare gli errori di scrittura nell'archivio magnetico. L'aggiornamento della policy non influisce sull'utilizzo della policy gestita. `AmazonTimestreamConsoleFullAccess` | 29 novembre 2021 |
| [AmazonTimestreamFullAccess](#security-iam-awsmanpol-AmazonTimestreamFullAccess): aggiornamento di una policy esistente | L'`s3:ListAllMyBuckets`azione è stata aggiunta alla politica `AmazonTimestreamFullAccess` gestita esistente. Questa azione viene utilizzata quando si specifica un bucket Amazon S3 per Timestream per registrare gli errori di scrittura nell'archivio magnetico. L'aggiornamento della policy non influisce sull'utilizzo della policy gestita. `AmazonTimestreamFullAccess` | 29 novembre 2021 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess): aggiornamento di una policy esistente | Azioni ridondanti rimosse dalla politica `AmazonTimestreamConsoleFullAccess` gestita esistente. In precedenza, questa politica includeva un'azione ridondante. `dbqms:DescribeQueryHistory` La politica aggiornata rimuove l'azione ridondante. L'aggiornamento della politica non influisce sull'utilizzo della politica `AmazonTimestreamConsoleFullAccess` gestita. | 23 Aprile 2021 |
| Timestream Live Analytics ha iniziato a tracciare le modifiche | Timestream Live Analytics ha iniziato a tenere traccia delle modifiche alle sue politiche gestite. AWS | 21 aprile 2021 |
# Amazon Timestream LiveAnalytics per esempi di policy basate sull'identità
Per impostazione predefinita, gli utenti e i ruoli IAM non sono autorizzati a creare o modificare Timestream per le risorse. LiveAnalytics Inoltre, non possono eseguire attività utilizzando CQLSH o API. Console di gestione AWS AWS CLI AWS Un amministratore IAM deve creare policy IAM che concedono a utenti e ruoli l'autorizzazione per eseguire operazioni API specifiche sulle risorse specificate di cui hanno bisogno. L'amministratore deve quindi allegare queste policy a utenti o IAM che richiedono tali autorizzazioni.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy nella scheda JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) nella *Guida per l'utente IAM*.
**Topics**
+ [Best practice delle policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo del Timestream per console LiveAnalytics](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Operazioni comuni in Timestream per LiveAnalytics](#security_iam_id-based-policy-examples-common-operations)
+ [Timestream per l'accesso alle LiveAnalytics risorse in base ai tag](#security_iam_id-based-policy-examples-tags)
+ [Query pianificate](#security_iam_id-based-policy-examples-sheduledqueries)
## Best practice delle policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare Timestream per le risorse del tuo account. LiveAnalytics Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo del Timestream per console LiveAnalytics
Timestream for non LiveAnalytics richiede autorizzazioni specifiche per accedere ad Amazon Timestream per console. LiveAnalytics Hai bisogno almeno delle autorizzazioni di sola lettura per elencare e visualizzare i dettagli sul Timestream per le risorse del tuo account. LiveAnalytics AWS Se crei una policy basata su identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti e ruoli IAM) associate a tale policy.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Operazioni comuni in Timestream per LiveAnalytics
Di seguito sono riportati alcuni esempi di policy IAM che consentono operazioni comuni in Timestream for service. LiveAnalytics
**Topics**
+ [Consentire tutte le operazioni](#security_iam_id-based-policy-examples-common-operations.all)
+ [Consentire le operazioni SELECT](#security_iam_id-based-policy-examples-common-operations.select)
+ [Consentire le operazioni SELECT su più risorse](#security_iam_id-based-policy-examples-common-operations.select-multiple-resources)
+ [Consentire le operazioni sui metadati](#security_iam_id-based-policy-examples-common-operations.metadata)
+ [Consentire le operazioni INSERT](#security_iam_id-based-policy-examples-common-operations.insert)
+ [Consentire le operazioni CRUD](#security_iam_id-based-policy-examples-common-operations.crud)
+ [Annulla le interrogazioni e seleziona i dati senza specificare le risorse](#security_iam_id-based-policy-examples-common-operations.cancel-selectvalues)
+ [Creare, descrivere, eliminare e descrivere un database](#security_iam_id-based-policy-examples-common-operations.cddd)
+ [Limita i database elencati per tag `{"Owner": "${username}"}`](#security_iam_id-based-policy-examples-common-operations.list-by-tag)
+ [Elenca tutte le tabelle in un database](#security_iam_id-based-policy-examples-common-operations.list-all-tables)
+ [Crea, descrivi, elimina, aggiorna e seleziona in una tabella](#security_iam_id-based-policy-examples-common-operations.cddus-table)
+ [Limita una query per tabella](#security_iam_id-based-policy-examples-common-operations.limit-query-table)
### Consentire tutte le operazioni
Di seguito è riportato un esempio di politica che consente tutte le operazioni in Timestream per. LiveAnalytics
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:*"
],
"Resource": "*"
}
]
}
```
------
### Consentire le operazioni SELECT
La seguente politica di esempio consente interrogazioni `SELECT` in stile -style su una risorsa specifica.
**Nota**
``Sostituiscilo con l'ID del tuo account Amazon.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:Select",
"timestream:DescribeTable",
"timestream:ListMeasures"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
},
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:SelectValues",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### Consentire le operazioni SELECT su più risorse
La seguente politica di esempio consente interrogazioni `SELECT` in stile C su più risorse.
**Nota**
``Sostituiscilo con l'ID del tuo account Amazon.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:Select",
"timestream:DescribeTable",
"timestream:ListMeasures"
],
"Resource": [
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps",
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps1",
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps2"
]
},
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:SelectValues",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### Consentire le operazioni sui metadati
La seguente politica di esempio consente all'utente di eseguire query sui metadati, ma non consente all'utente di eseguire operazioni di lettura o scrittura di dati effettivi in Timestream for. LiveAnalytics
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:DescribeTable",
"timestream:ListMeasures",
"timestream:SelectValues",
"timestream:ListTables",
"timestream:ListDatabases",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### Consentire le operazioni INSERT
La seguente politica di esempio consente a un utente di eseguire un'`INSERT`operazione sull'account `database/sampleDB/table/DevOps` in``.
**Nota**
``Sostituiscilo con l'ID del tuo account Amazon.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"timestream:WriteRecords"
],
"Resource": [
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
],
"Effect": "Allow"
},
{
"Action": [
"timestream:DescribeEndpoints"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
### Consentire le operazioni CRUD
La seguente politica di esempio consente a un utente di eseguire operazioni CRUD in Timestream for. LiveAnalytics
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:CreateTable",
"timestream:DescribeTable",
"timestream:CreateDatabase",
"timestream:DescribeDatabase",
"timestream:ListTables",
"timestream:ListDatabases",
"timestream:DeleteTable",
"timestream:DeleteDatabase",
"timestream:UpdateTable",
"timestream:UpdateDatabase"
],
"Resource": "*"
}
]
}
```
------
### Annulla le interrogazioni e seleziona i dati senza specificare le risorse
La seguente politica di esempio consente a un utente di annullare le query ed eseguire `Select` query sui dati che non richiedono la specificazione delle risorse:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:SelectValues",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### Creare, descrivere, eliminare e descrivere un database
La seguente politica di esempio consente a un utente di creare, descrivere, eliminare e descrivere un database`sampleDB`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:CreateDatabase",
"timestream:DescribeDatabase",
"timestream:DeleteDatabase",
"timestream:UpdateDatabase"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB"
}
]
}
```
------
### Limita i database elencati per tag `{"Owner": "${username}"}`
La seguente politica di esempio consente a un utente di elencare tutti i database etichettati con una coppia chiave-valore`{"Owner": "${username}"}`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:ListDatabases"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
### Elenca tutte le tabelle in un database
La seguente politica di esempio per elencare tutte le tabelle nel database`sampleDB`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:ListTables"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/"
}
]
}
```
------
### Crea, descrivi, elimina, aggiorna e seleziona in una tabella
La seguente politica di esempio consente a un utente di creare tabelle, descrivere tabelle, eliminare tabelle, aggiornare tabelle ed eseguire `Select` query sulla tabella `DevOps` nel database`sampleDB`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:CreateTable",
"timestream:DescribeTable",
"timestream:DeleteTable",
"timestream:UpdateTable",
"timestream:Select"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
}
]
}
```
------
### Limita una query per tabella
La seguente politica di esempio consente a un utente di interrogare tutte le tabelle tranne quelle `DevOps` del database`sampleDB`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:Select"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/*"
},
{
"Effect": "Deny",
"Action": [
"timestream:Select"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
}
]
}
```
------
## Timestream per l'accesso alle LiveAnalytics risorse in base ai tag
Puoi utilizzare le condizioni della tua politica basata sull'identità per controllare l'accesso a Timestream per le risorse basate sui tag. LiveAnalytics Questa sezione fornisce alcuni esempi.
L'esempio seguente mostra come è possibile creare una politica che conceda a un utente le autorizzazioni per visualizzare una tabella se la tabella `Owner` contiene il valore del nome utente di quell'utente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadOnlyAccessTaggedTables",
"Effect": "Allow",
"Action": "timestream:Select",
"Resource": "arn:aws:timestream:us-east-2:111122223333:database/mydatabase/table/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
Puoi allegare questa policy agli utenti IAM nel tuo account. Se un utente denominato `richard-roe` tenta di visualizzare un Timestream per la LiveAnalytics tabella, la tabella deve essere contrassegnata con o. `Owner=richard-roe` `owner=richard-roe` In caso contrario, gli viene negato l'accesso. La chiave di tag di condizione `Owner` corrisponde a `Owner` e `owner` perché i nomi delle chiavi di condizione non effettuano la distinzione tra maiuscole e minuscole. Per ulteriori informazioni, consulta la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l'utente di IAM*.
La seguente politica concede a un utente le autorizzazioni per creare tabelle con tag se il tag passato nella richiesta ha una chiave `Owner` e un valore: `username`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTagTableUser",
"Effect": "Allow",
"Action": [
"timestream:CreateTable",
"timestream:TagResource"
],
"Resource": "arn:aws:timestream:us-east-2:111122223333:database/mydatabase/table/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:RequestTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
La politica seguente consente l'uso dell'`DescribeDatabase`API su qualsiasi database con il `env` tag impostato su uno dei seguenti o`dev`: `test`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribe",
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:DescribeDatabase"
],
"Resource": "*"
},
{
"Sid": "AllowTagAccessForDevResources",
"Effect": "Allow",
"Action": [
"timestream:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/env": [
"test",
"dev"
]
}
}
}
]
}
```
------
Questa politica utilizza una `Condition` chiave per consentire l'aggiunta o l'aggiunta di un tag con la chiave `env` e il valore di `test` o `dev` a una risorsa. `qa`
## Query pianificate
### Elenca, elimina, aggiorna, esegui ScheduledQuery
La seguente politica di esempio consente a un utente di elencare, eliminare, aggiornare ed eseguire query pianificate.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:DeleteScheduledQuery",
"timestream:ExecuteScheduledQuery",
"timestream:UpdateScheduledQuery",
"timestream:ListScheduledQueries",
"timestream:DescribeEndpoints"
],
"Resource": "*"
}
]
}
```
------
### CreateScheduledQuery utilizzando una chiave KMS gestita dal cliente
La seguente politica di esempio consente a un utente di creare una query pianificata crittografata utilizzando una chiave KMS gestita dal cliente;. **
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::123456789012:role/ScheduledQueryExecutionRole"
],
"Effect": "Allow"
},
{
"Action": [
"timestream:CreateScheduledQuery",
"timestream:DescribeEndpoints"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/",
"Effect": "Allow"
}
]
}
```
------
### DescribeScheduledQuery utilizzando una chiave KMS gestita dal cliente
La seguente politica di esempio consente a un utente di descrivere una query pianificata creata utilizzando una chiave KMS gestita dal cliente;. **
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"timestream:DescribeScheduledQuery",
"timestream:DescribeEndpoints"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/",
"Effect": "Allow"
}
]
}
```
------
### Autorizzazioni per i ruoli di esecuzione (utilizzo di una chiave KMS gestita dal cliente per le query pianificate e SSE-KMS per le segnalazioni di errori)
Allega la seguente policy di esempio al ruolo IAM specificato nel `ScheduledQueryExecutionRoleArn` parametro, dell'`CreateScheduledQuery`API che utilizza la chiave KMS gestita dal cliente per la crittografia delle query pianificate e la crittografia delle segnalazioni di errori. `SSE-KMS`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/",
"Effect": "Allow"
},
{
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-west-2:123456789012:key/",
"arn:aws:kms:us-west-2:123456789012:key/",
"arn:aws:kms:us-west-2:123456789012:key/"
],
"Effect": "Allow"
},
{
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:us-west-2:123456789012:scheduled-query-notification-topic-*"
],
"Effect": "Allow"
},
{
"Action": [
"timestream:Select",
"timestream:SelectValues",
"timestream:WriteRecords"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"s3:PutObject",
"s3:GetBucketAcl"
],
"Resource": [
"arn:aws:s3:::scheduled-query-error-bucket",
"arn:aws:s3:::scheduled-query-error-bucket/*"
],
"Effect": "Allow"
}
]
}
```
------
### Ruolo di esecuzione, relazione di fiducia
Di seguito è riportata la relazione di fiducia per il ruolo IAM specificato nel `ScheduledQueryExecutionRoleArn` parametro dell'`CreateScheduledQuery`API.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"timestream.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### Consenti l'accesso a tutte le query pianificate create all'interno di un account
Allega la seguente policy di esempio al ruolo IAM specificato nel `ScheduledQueryExecutionRoleArn` parametro dell'`CreateScheduledQuery`API per consentire l'accesso a tutte le query pianificate create all'interno di un account. *Account\$1ID*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "timestream.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "Account_ID"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:timestream:us-west-2:111122223333:scheduled-query/*"
}
}
}
]
}
```
------
### Consenti l'accesso a tutte le query pianificate con un nome specifico
Allega la seguente policy di esempio al ruolo IAM specificato nel `ScheduledQueryExecutionRoleArn` parametro dell'`CreateScheduledQuery`API per consentire l'accesso a tutte le query pianificate con un nome che inizia con*Scheduled\$1Query\$1Name*, all'interno dell'account. *Account\$1ID*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "timestream.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "Account_ID"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:timestream:us-west-2:111122223333:scheduled-query/Scheduled_Query_Name*"
}
}
}
]
}
```
------
# Risoluzione dei problemi relativi all'identità e all'accesso di Amazon Timestream LiveAnalytics
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con Timestream for e IAM. LiveAnalytics
**Topics**
+ [Non sono autorizzato a eseguire un'azione in Timestream per LiveAnalytics](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Desidero consentire a persone esterne al mio AWS account di accedere al mio Timestream per ottenere risorse LiveAnalytics](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un'azione in Timestream per LiveAnalytics
Se ti Console di gestione AWS dice che non sei autorizzato a eseguire un'azione, devi contattare l'amministratore per ricevere assistenza. L’amministratore è colui che ti ha fornito le credenziali di accesso.
Il seguente errore di esempio si verifica quando l'utente `mateojackson` IAM tenta di utilizzare la console per visualizzare i dettagli su a *table* ma non dispone `timestream:Select` delle autorizzazioni per la tabella.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: timestream:Select on resource: mytable
```
In questo caso, Mateo chiede al suo amministratore di aggiornare le policy per poter accedere alla risorsa `mytable` mediante l'operazione `timestream:Select`.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue politiche devono essere aggiornate per consentirti di assegnare un ruolo a Timestream for. LiveAnalytics
Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in Timestream for. LiveAnalytics Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Desidero consentire a persone esterne al mio AWS account di accedere al mio Timestream per ottenere risorse LiveAnalytics
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per consentire alle persone di accedere alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Timestream for LiveAnalytics supporta queste funzionalità, consulta. [Come funziona Amazon Timestream for con IAM LiveAnalytics](security_iam_service-with-iam.md)
+ Per scoprire come fornire l'accesso alle risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM di un altro Account AWS utente di tua proprietà nella](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) *IAM User* Guide. Account AWS
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente di IAM*.