Per funzionalità simili a Amazon Timestream for, prendi in considerazione Amazon Timestream LiveAnalytics per InfluxDB. Offre un'acquisizione semplificata dei dati e tempi di risposta alle query di una sola cifra di millisecondi per analisi in tempo reale. [Scopri](https://docs.aws.amazon.com//timestream/latest/developerguide/timestream-for-influxdb.html) di più qui.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in Timestream per LiveAnalytics
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. L'efficacia della nostra sicurezza è regolarmente testata e verificata da revisori di terze parti come parte dei [programmi di conformitàAWS](https://aws.amazon.com/compliance/programs/). Per ulteriori informazioni sui programmi di conformità applicabili a Timestream for LiveAnalytics, consulta [AWS Services in Scope by](https://aws.amazon.com/compliance/services-in-scope/) Compliance Program.
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L'utente è anche responsabile per altri fattori, tra cui la riservatezza dei dati, i requisiti dell'azienda, nonché le leggi e le normative applicabili.
Questa documentazione ti aiuterà a capire come applicare il modello di responsabilità condivisa quando usi Timestream for. LiveAnalytics I seguenti argomenti mostrano come configurare Timestream per soddisfare gli obiettivi LiveAnalytics di sicurezza e conformità. Imparerai anche come utilizzare altri AWS servizi che possono aiutarti a monitorare e proteggere le risorse di Timestream. LiveAnalytics
**Topics**
+ [
# Protezione dei dati in Timestream per LiveAnalytics
](data-protection.md)
+ [
# Gestione delle identità e degli accessi per Amazon Timestream for LiveAnalytics
](security-iam.md)
+ [
# Registrazione e monitoraggio in Timestream per LiveAnalytics
](monitoring.md)
+ [
# Resilienza in Amazon Timestream Live Analytics
](disaster-recovery-resiliency.md)
+ [
# Sicurezza dell'infrastruttura in Amazon Timestream Live Analytics
](infrastructure-security.md)
+ [
# Analisi della configurazione e delle vulnerabilità in Timestream
](ConfigAndVulnerability.md)
+ [
# Risposta agli incidenti in Timestream per LiveAnalytics
](IncidentResponse.md)
+ [
# Endpoint VPC (AWS PrivateLink)
](VPCEndpoints.md)
+ [
# Best practice di sicurezza per Amazon Timestream for LiveAnalytics
](best-practices-security.md)
# Protezione dei dati in Timestream per LiveAnalytics
Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) si applica alla protezione dei dati in Amazon Timestream Live Analytics. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i. Cloud AWS L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Timestream Live Analytics o altro Servizi AWS utilizzando la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
Per informazioni più dettagliate su Timestream per argomenti di protezione LiveAnalytics dei dati come Encryption at Rest e Key Management, seleziona uno degli argomenti disponibili di seguito.
**Topics**
+ [
# Crittografia dei dati a riposo
](EncryptionAtRest.md)
+ [
# Crittografia dei dati in transito
](EncryptionInTransit.md)
+ [
# Gestione delle chiavi
](KeyManagement.md)
# Crittografia dei dati a riposo
[Timestream for LiveAnalytics encryption at rest offre una maggiore sicurezza crittografando tutti i dati inattivi utilizzando le chiavi di crittografia archiviate in ().AWS Key Management ServiceAWS KMS](https://aws.amazon.com/kms/) Questa funzionalità consente di ridurre gli oneri operativi e la complessità associati alla protezione dei dati sensibili. La crittografia dei dati inattivi consente di creare applicazioni ad alto livello di sicurezza che rispettano rigorosi requisiti normativi e di conformità per la crittografia.
+ La crittografia è attivata per impostazione predefinita su Timestream for LiveAnalytics database e non può essere disattivata. L'algoritmo di crittografia AES-256 standard del settore è l'algoritmo di crittografia predefinito utilizzato.
+ AWS KMS è necessario per la crittografia a riposo in Timestream per. LiveAnalytics
+ Non è possibile criptare solo un sottoinsieme di elementi in una tabella.
+ Non è quindi necessario modificare le applicazioni client di database per utilizzare la crittografia.
Se non fornisci una chiave, Timestream for LiveAnalytics crea e utilizza una AWS KMS chiave denominata `alias/aws/timestream` nel tuo account.
Puoi utilizzare la tua chiave gestita dai clienti in KMS per crittografare il tuo Timestream per i dati. LiveAnalytics Per ulteriori informazioni sulle chiavi in Timestream per, consulta. LiveAnalytics [Gestione delle chiavi](KeyManagement.md)
Timestream for LiveAnalytics archivia i dati in due livelli di archiviazione, memory store e magnetic store. I dati dell'archivio di memoria vengono crittografati utilizzando una chiave di servizio Timestream. LiveAnalytics I dati dell'archivio magnetico vengono crittografati utilizzando la chiave AWS KMS.
Il servizio Timestream Query richiede credenziali per accedere ai dati. Queste credenziali vengono crittografate utilizzando la chiave KMS.
**Nota**
Timestream for LiveAnalytics non richiede AWS KMS ogni operazione di Decrypt. Invece, mantiene una cache locale di chiavi per 5 minuti con traffico attivo. Qualsiasi modifica delle autorizzazioni viene propagata tramite il Timestream per il LiveAnalytics sistema con un'eventuale coerenza entro un massimo di 5 minuti.
# Crittografia dei dati in transito
Tutti i dati di Timestream Live Analytics vengono crittografati in transito. Per impostazione predefinita, tutte le comunicazioni da e verso Timestream for LiveAnalytics sono protette utilizzando la crittografia Transport Layer Security (TLS).
# Gestione delle chiavi
Puoi gestire le chiavi per Amazon Timestream Live Analytics utilizzando [AWS il Key Management Service AWS](https://docs.aws.amazon.com/kms/latest/developerguide/) (KMS). **Timestream Live Analytics richiede l'uso di KMS per crittografare i dati.** Sono disponibili le seguenti opzioni per la gestione delle chiavi, a seconda del livello di controllo richiesto sulle chiavi:
**Risorse di database e tabelle**
+ *Chiave gestita da Timestream Live Analytics: se non fornisci una chiave, Timestream Live Analytics creerà una chiave utilizzando KMS*. `alias/aws/timestream`
+ *Chiave gestita dal cliente: le chiavi gestite dai clienti* KMS sono supportate. Scegli questa opzione se hai bisogno di un maggiore controllo sulle autorizzazioni e sul ciclo di vita delle tue chiavi, inclusa la possibilità di farle ruotare automaticamente su base annuale.
**Risorsa di query pianificata**
+ *Chiave di proprietà di Timestream Live Analytics:* se non si fornisce una chiave, Timestream Live Analytics utilizzerà la propria chiave KMS per crittografare la risorsa Query, questa chiave è presente nell'account timestream. [Per maggiori dettagli, consulta le chiavi possedute AWS nella guida per sviluppatori KMS.](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)
+ *Chiave gestita dal cliente:* le chiavi gestite dal cliente KMS sono supportate. Scegli questa opzione se hai bisogno di un maggiore controllo sulle autorizzazioni e sul ciclo di vita delle tue chiavi, inclusa la possibilità di farle ruotare automaticamente su base annuale.
Le chiavi KMS in un archivio di chiavi esterno (XKS) non sono supportate.
# Gestione delle identità e degli accessi per Amazon Timestream for LiveAnalytics
AWS Identity and Access Management (IAM) è un software Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato (disporre delle autorizzazioni*) a utilizzare Timestream per le risorse. LiveAnalytics IAM è uno strumento Servizio AWS che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [
## Destinatari
](#security_iam_audience)
+ [
## Autenticazione con identità
](#security_iam_authentication)
+ [
## Gestione dell’accesso tramite policy
](#security_iam_access-manage)
+ [
# Come funziona Amazon Timestream for con IAM LiveAnalytics
](security_iam_service-with-iam.md)
+ [
# AWS politiche gestite per Amazon Timestream Live Analytics
](security-iam-awsmanpol.md)
+ [
# Amazon Timestream LiveAnalytics per esempi di policy basate sull'identità
](security_iam_id-based-policy-examples.md)
+ [
# Risoluzione dei problemi relativi all'identità e all'accesso di Amazon Timestream LiveAnalytics
](security_iam_troubleshoot.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi relativi all'identità e all'accesso di Amazon Timestream LiveAnalytics](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come funziona Amazon Timestream for con IAM LiveAnalytics](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Amazon Timestream LiveAnalytics per esempi di policy basate sull'identità](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee nella Guida per l'](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Elenchi di controllo degli accessi () ACLs
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
Amazon S3 e Amazon VPC sono esempi di servizi che supportano. AWS WAF ACLs Per ulteriori informazioni ACLs, consulta la [panoramica della lista di controllo degli accessi (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Amazon Simple Storage Service Developer Guide*.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come funziona Amazon Timestream for con IAM LiveAnalytics
Prima di utilizzare IAM per gestire l'accesso a Timestream for LiveAnalytics, è necessario comprendere per quali funzionalità IAM sono disponibili per l'uso con Timestream. LiveAnalytics *Per avere una visione di alto livello di come Timestream for LiveAnalytics e altri AWS servizi funzionano con IAM, consulta [AWS Services That Work with IAM nella IAM User Guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
**Topics**
+ [
## Timestream per politiche basate sull'identità LiveAnalytics
](#security_iam_service-with-iam-id-based-policies)
+ [
## Timestream per politiche basate sulle risorse LiveAnalytics
](#security_iam_service-with-iam-resource-based-policies)
+ [
## Autorizzazione basata su Timestream per i tag LiveAnalytics
](#security_iam_service-with-iam-tags)
+ [
## Timestream per i ruoli IAM LiveAnalytics
](#security_iam_service-with-iam-roles)
## Timestream per politiche basate sull'identità LiveAnalytics
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Timestream for LiveAnalytics supporta azioni e risorse specifiche e chiavi di condizione. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta [Documentazione di riferimento degli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l'utente IAM*.
### Azioni
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
È possibile specificare le seguenti azioni nell'elemento Action di una dichiarazione di policy IAM. Utilizza le policy per concedere le autorizzazioni per eseguire un'operazione in AWS. Quando si utilizza un'azione in una policy, in genere si consente o si nega l'accesso all'operazione API, al comando CLI o al comando SQL con lo stesso nome.
In alcuni casi, una singola azione controlla l'accesso a un'operazione API e al comando SQL. In alternativa, alcune operazioni richiedono operazioni differenti.
Per un elenco dei Timestream supportati per LiveAnalytics `Action`'s, consulta la tabella seguente:
**Nota**
Per tutti i database specifici`Actions`, è possibile specificare un ARN del database per limitare l'azione a un determinato database.
| Azioni | Descrizione | Livello di accesso | Tipi di risorsa (\$1obbligatorio) |
| --- | --- | --- | --- |
| DescribeEndpoints | Restituisce l'endpoint Timestream a cui devono essere fatte le richieste successive. | Tutti | \$1 |
| Select | Esegui query su Timestream che selezionano i dati da una o più tabelle. [Consulta questa nota per una spiegazione dettagliata](#security_iam_service-with-iam-id-based-policies-actions.select-vs-selectvalues) | Lettura | tabella\$1 |
| CancelQuery | Annullare una richiesta. | Lettura | \$1 |
| ListTables | Ottieni l'elenco delle tabelle. | List | database\$1 |
| ListDatabases | Ottieni l'elenco dei database. | List | \$1 |
| ListMeasures | Ottieni l'elenco delle misure. | Lettura | tabella\$1 |
| DescribeTable | Ottieni la descrizione della tabella. | Lettura | tavolo\$1 |
| DescribeDatabase | Ottieni la descrizione del database. | Lettura | database\$1 |
| SelectValues | Esegui query che non richiedono la specificazione di una risorsa particolare. [Per una spiegazione dettagliata, consulta questa nota](#security_iam_service-with-iam-id-based-policies-actions.select-vs-selectvalues). | Lettura | \$1 |
| WriteRecords | Inserisci i dati in Timestream. | Scrittura | tabella\$1 |
| CreateTable | Creare una tabella. | Scrittura | database\$1 |
| CreateDatabase | Crea un database. | Scrittura | \$1 |
| DeleteDatabase | Eliminare un database. | Scrittura | \$1 |
| UpdateDatabase | Aggiornare un database. | Scrittura | \$1 |
| DeleteTable | Eliminare una tabella. | Scrittura | database\$1 |
| UpdateTable | Aggiorna una tabella. | Scrittura | database\$1 |
#### SelectValues vs. seleziona:
`SelectValues`è un file `Action` che viene utilizzato per le interrogazioni che *non* richiedono una risorsa. Un esempio di query che non richiede una risorsa è il seguente:
```
SELECT 1
```
Notate che questa query non si riferisce a un particolare flusso temporale per la LiveAnalytics risorsa. Consideriamo un altro esempio:
```
SELECT now()
```
Questa query restituisce il timestamp corrente utilizzando la `now()` funzione, ma non richiede la specificazione di una risorsa. `SelectValues`viene spesso utilizzato per i test, in modo che Timestream for LiveAnalytics possa eseguire query senza risorse. Ora, considera una domanda: `Select`
```
SELECT * FROM database.table
```
Questo tipo di query richiede una risorsa, in particolare un Timestream per LiveAnalytics `table`, in modo che i dati specificati possano essere recuperati dalla tabella.
### Resources
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
In Timestream per LiveAnalytics database e tabelle può essere utilizzato nell'`Resource`elemento delle autorizzazioni IAM.
La risorsa Timestream for LiveAnalytics database ha il seguente ARN:
```
arn:${Partition}:timestream:${Region}:${Account}:database/${DatabaseName}
```
Il Timestream per la risorsa LiveAnalytics table ha il seguente ARN:
```
arn:${Partition}:timestream:${Region}:${Account}:database/${DatabaseName}/table/${TableName}
```
Per ulteriori informazioni sul formato di ARNs, consulta [Amazon Resource Names (ARNs) e AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Ad esempio, per specificare `database` lo spazio delle chiavi nella tua dichiarazione, usa il seguente ARN:
```
"Resource": "arn:aws:timestream:us-east-1:123456789012:database/mydatabase"
```
Per specificare tutti i database che appartengono a un account specifico, usa il carattere jolly (\$1):
```
"Resource": "arn:aws:timestream:us-east-1:123456789012:database/*"
```
Alcuni Timestream per LiveAnalytics le azioni, come quelle per la creazione di risorse, non possono essere eseguiti su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (\$1).
```
"Resource": "*"
```
### Chiavi di condizione
Timestream for LiveAnalytics non fornisce chiavi di condizione specifiche del servizio, ma supporta l'utilizzo di alcune chiavi di condizione globali. *Per visualizzare tutte le chiavi di condizione AWS globali, consulta [AWS Global Condition Context Keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) nella IAM User Guide.*
### Esempi
Per visualizzare esempi di Timestream per le politiche LiveAnalytics basate sull'identità, consulta. [Amazon Timestream LiveAnalytics per esempi di policy basate sull'identità](security_iam_id-based-policy-examples.md)
## Timestream per politiche basate sulle risorse LiveAnalytics
Timestream for non supporta le politiche basate sulle risorse. LiveAnalytics Per visualizzare un esempio di una pagina di policy basata su risorse dettagliata, consulta [https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html).
## Autorizzazione basata su Timestream per i tag LiveAnalytics
Puoi gestire l'accesso alle LiveAnalytics risorse del tuo Timestream utilizzando i tag. Per gestire l'accesso alle risorse in base ai tag, fornisci le informazioni sui tag nell'[elemento condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando i `timestream:ResourceTag/key-name` tasti`aws:RequestTag/key-name`, o `aws:TagKeys` condition. Per ulteriori informazioni sull'assegnazione di tag a Timestream per LiveAnalytics le risorse, consulta. [Aggiunta di tag ed etichette alle risorse](tagging-keyspaces.md)
Per visualizzare policy basate sulle identità di esempio per limitare l'accesso a una risorsa basata su tag su tale risorsa, consulta [Timestream per l'accesso alle LiveAnalytics risorse in base ai tag](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags).
## Timestream per i ruoli IAM LiveAnalytics
Un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) è un'entità all'interno del tuo AWS account che dispone di autorizzazioni specifiche.
### Utilizzo di credenziali temporanee con Timestream per LiveAnalytics
È possibile utilizzare credenziali temporanee per effettuare l'accesso con la federazione, assumere un ruolo IAM o un ruolo multi-account. È possibile ottenere credenziali di sicurezza temporanee chiamando operazioni AWS STS API come o. [AssumeRole[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)
### Ruoli collegati ai servizi
Timestream for LiveAnalytics non supporta i ruoli collegati ai servizi.
### Ruoli di servizio
Timestream for LiveAnalytics non supporta i ruoli di servizio.
# AWS politiche gestite per Amazon Timestream Live Analytics
Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
**Topics**
+ [AmazonTimestreamInfluxDBFullAccesso](#security-iam-awsmanpol-AmazonTimestreamInfluxDBFullAccess)
+ [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess)
+ [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess)
+ [AmazonTimestreamFullAccess](#security-iam-awsmanpol-AmazonTimestreamFullAccess)
+ [Aggiornamenti delle policy](#security-iam-awsmanpol-updates)
## AWS politica gestita: AmazonTimestreamInflux DBFull accesso
È possibile associare la policy `AmazonTimestreamInfluxDBFullAccess` a utenti, gruppi e ruoli. La policy di accesso per creare, aggiornare, eliminare ed elencare istanze Amazon Timestream InfluxDB.
**Dettagli dell’autorizzazione**
Questa policy include la seguente autorizzazione:
+ `Amazon Timestream`— Fornisce l'accesso amministrativo completo per creare, aggiornare, eliminare ed elencare istanze Amazon Timestream InfluxDB e creare ed elencare gruppi di parametri.
[Per rivedere questa politica in formato JSON, consulta Access. AmazonTimestreamInflux DBFull](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamInfluxDBFullAccess.html)
## AWS politica gestita: AmazonTimestreamReadOnlyAccess
È possibile associare la policy `AmazonTimestreamReadOnlyAccess` a utenti, gruppi e ruoli. La policy fornisce l'accesso in sola lettura ad Amazon Timestream.
**Dettagli dell’autorizzazione**
Questa policy include la seguente autorizzazione:
+ `Amazon Timestream`— Fornisce accesso in sola lettura ad Amazon Timestream. Questa politica concede inoltre l'autorizzazione ad annullare qualsiasi query in esecuzione.
Per esaminare questa politica in formato JSON, consulta. [AmazonTimestreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamReadOnlyAccess.html)
## AWS politica gestita: AmazonTimestreamConsoleFullAccess
È possibile associare la policy `AmazonTimestreamConsoleFullAccess` a utenti, gruppi e ruoli.
La policy fornisce l'accesso completo alla gestione di Amazon Timestream utilizzando. Console di gestione AWS Questa politica concede anche le autorizzazioni per determinate AWS KMS operazioni e operazioni di gestione delle query salvate.
**Dettagli dell’autorizzazione**
Questa policy include le seguenti autorizzazioni:
+ `Amazon Timestream`— Garantisce ai mandanti l'accesso completo ad Amazon Timestream.
+ `AWS KMS`— Consente ai mandanti di elencare gli alias e descrivere le chiavi.
+ `Amazon S3`— Consente ai responsabili di elencare tutti i bucket Amazon S3.
+ `Amazon SNS`— Consente ai responsabili di elencare gli argomenti di Amazon SNS.
+ `IAM`— Consente ai responsabili di elencare i ruoli IAM.
+ `DBQMS`: consente ai principali di accedere, creare, eliminare, descrivere e aggiornare le query. Il Database Query Metadata Service (dbqms) è un servizio solo interno. Fornisce le tue query recenti e salvate per l'editor di query su multipli Servizi AWS, incluso Amazon Timestream. Console di gestione AWS
+ `Pricing`— Consente ai responsabili di accedere alla stima dei prezzi per la configurazione delle risorse InfluxDB durante la creazione.
+ `Marketplace`— Consente ai responsabili di accedere alle risorse del marketplace e di creare accordi per la creazione di InfluxDB Cluster with Read Replicas.
Per rivedere questa politica in formato JSON, vedere. [AmazonTimestreamConsoleFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamConsoleFullAccess.html)
## AWS politica gestita: AmazonTimestreamFullAccess
È possibile associare la policy `AmazonTimestreamFullAccess` a utenti, gruppi e ruoli.
La policy fornisce l'accesso completo ad Amazon Timestream. Questa politica concede anche le autorizzazioni per determinate operazioni. AWS KMS
**Dettagli dell’autorizzazione**
Questa policy include le seguenti autorizzazioni:
+ `Amazon Timestream`— Garantisce ai mandanti l'accesso completo ad Amazon Timestream.
+ `AWS KMS`— Consente ai mandanti di elencare gli alias e descrivere le chiavi.
+ `Amazon S3`— Consente ai responsabili di elencare tutti i bucket Amazon S3.
Per rivedere questa politica in formato JSON, consulta. [AmazonTimestreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamFullAccess.html)
## Aggiornamenti di Timestream Live Analytics alle politiche gestite AWS
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per Timestream Live Analytics da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della [cronologia dei documenti di Timestream Live Analytics](doc-history.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess): aggiornamento a una policy esistente | Timestream for InfluxDB ha aggiunto l'ID del prodotto del marketplace Influx Enterprise alla politica `AmazonTimestreamInfluxDBFullAccess` gestita esistente per supportare l'abbonamento alle offerte del marketplace aziendale. Queste autorizzazioni sono limitate a prodotti AWS Marketplace specifici attraverso una condizione che limita l'accesso solo a determinati`ProductIds`. Vedi [AmazonTimestreamInfluxDBFullAccesso](https://docs.aws.amazon.com/timestream/latest/developerguide/security-iam-awsmanpol-influxdb.html#iam.identitybasedpolicies.predefinedpolicies). | 17 ottobre 2025 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess): aggiornamento di una policy esistente | Sono state aggiunte le autorizzazioni AWS Marketplace alla politica `AmazonTimestreamConsoleFullAccess` gestita esistente per accedere alle risorse del marketplace e creare accordi per la creazione di InfluxDB Cluster con Read Repliche. Timestream Live Analytics ha inoltre aggiornato questa politica gestita aggiungendo un campo. `Sid` L'aggiornamento della politica non influisce sull'utilizzo della politica `AmazonTimestreamConsoleFullAccess` gestita. | 20 agosto 2025 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess): aggiornamento di una policy esistente | È stata aggiunta l'`pricing:GetProducts`azione alla politica `AmazonTimestreamConsoleFullAccess` gestita esistente per fornire stime dei prezzi per le configurazioni delle risorse InfluxDB durante la creazione. L'aggiornamento della politica non influisce sull'utilizzo della politica gestita. `AmazonTimestreamConsoleFullAccess` | 10 giugno 2025 |
| [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess): aggiornamento di una policy esistente | L'`timestream:DescribeAccountSettings`azione è stata aggiunta alla politica `AmazonTimestreamReadOnlyAccess` gestita esistente. Questa azione viene utilizzata per descrivere Account AWS le impostazioni. Timestream Live Analytics ha inoltre aggiornato questa politica gestita aggiungendo un campo. `Sid` L'aggiornamento della politica non influisce sull'utilizzo della politica `AmazonTimestreamReadOnlyAccess` gestita. | 03 giugno 2024 |
| [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess): aggiornamento di una policy esistente | Sono state aggiunte le `timestream:ListBatchLoadTasks` azioni `timestream:DescribeBatchLoadTask` e alla politica `AmazonTimestreamReadOnlyAccess` gestita esistente. Queste azioni vengono utilizzate per elencare e descrivere le attività di caricamento in batch. L'aggiornamento della politica non influisce sull'utilizzo della politica `AmazonTimestreamReadOnlyAccess` gestita. | 24 febbraio 2023 |
| [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess): aggiornamento di una policy esistente | Sono state aggiunte le `timestream:ListScheduledQueries` azioni `timestream:DescribeScheduledQuery` e alla politica `AmazonTimestreamReadOnlyAccess` gestita esistente. Queste azioni vengono utilizzate per elencare e descrivere le interrogazioni pianificate esistenti. L'aggiornamento della politica non influisce sull'utilizzo della politica `AmazonTimestreamReadOnlyAccess` gestita. | 29 novembre 2021 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess): aggiornamento di una policy esistente | L'`s3:ListAllMyBuckets`azione è stata aggiunta alla politica `AmazonTimestreamConsoleFullAccess` gestita esistente. Questa azione viene utilizzata quando si specifica un bucket Amazon S3 per Timestream per registrare gli errori di scrittura nell'archivio magnetico. L'aggiornamento della policy non influisce sull'utilizzo della policy gestita. `AmazonTimestreamConsoleFullAccess` | 29 novembre 2021 |
| [AmazonTimestreamFullAccess](#security-iam-awsmanpol-AmazonTimestreamFullAccess): aggiornamento di una policy esistente | L'`s3:ListAllMyBuckets`azione è stata aggiunta alla politica `AmazonTimestreamFullAccess` gestita esistente. Questa azione viene utilizzata quando si specifica un bucket Amazon S3 per Timestream per registrare gli errori di scrittura nell'archivio magnetico. L'aggiornamento della policy non influisce sull'utilizzo della policy gestita. `AmazonTimestreamFullAccess` | 29 novembre 2021 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess): aggiornamento di una policy esistente | Azioni ridondanti rimosse dalla politica `AmazonTimestreamConsoleFullAccess` gestita esistente. In precedenza, questa politica includeva un'azione ridondante. `dbqms:DescribeQueryHistory` La politica aggiornata rimuove l'azione ridondante. L'aggiornamento della politica non influisce sull'utilizzo della politica `AmazonTimestreamConsoleFullAccess` gestita. | 23 Aprile 2021 |
| Timestream Live Analytics ha iniziato a tracciare le modifiche | Timestream Live Analytics ha iniziato a tenere traccia delle modifiche alle sue politiche gestite. AWS | 21 aprile 2021 |
# Amazon Timestream LiveAnalytics per esempi di policy basate sull'identità
Per impostazione predefinita, gli utenti e i ruoli IAM non sono autorizzati a creare o modificare Timestream per le risorse. LiveAnalytics Inoltre, non possono eseguire attività utilizzando CQLSH o API. Console di gestione AWS AWS CLI AWS Un amministratore IAM deve creare policy IAM che concedono a utenti e ruoli l'autorizzazione per eseguire operazioni API specifiche sulle risorse specificate di cui hanno bisogno. L'amministratore deve quindi allegare queste policy a utenti o IAM che richiedono tali autorizzazioni.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy nella scheda JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) nella *Guida per l'utente IAM*.
**Topics**
+ [
## Best practice delle policy
](#security_iam_service-with-iam-policy-best-practices)
+ [
## Utilizzo del Timestream per console LiveAnalytics
](#security_iam_id-based-policy-examples-console)
+ [
## Consentire agli utenti di visualizzare le loro autorizzazioni
](#security_iam_id-based-policy-examples-view-own-permissions)
+ [
## Operazioni comuni in Timestream per LiveAnalytics
](#security_iam_id-based-policy-examples-common-operations)
+ [
## Timestream per l'accesso alle LiveAnalytics risorse in base ai tag
](#security_iam_id-based-policy-examples-tags)
+ [
## Query pianificate
](#security_iam_id-based-policy-examples-sheduledqueries)
## Best practice delle policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare Timestream per le risorse del tuo account. LiveAnalytics Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo del Timestream per console LiveAnalytics
Timestream for non LiveAnalytics richiede autorizzazioni specifiche per accedere ad Amazon Timestream per console. LiveAnalytics Hai bisogno almeno delle autorizzazioni di sola lettura per elencare e visualizzare i dettagli sul Timestream per le risorse del tuo account. LiveAnalytics AWS Se crei una policy basata su identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti e ruoli IAM) associate a tale policy.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Operazioni comuni in Timestream per LiveAnalytics
Di seguito sono riportati alcuni esempi di policy IAM che consentono operazioni comuni in Timestream for service. LiveAnalytics
**Topics**
+ [
### Consentire tutte le operazioni
](#security_iam_id-based-policy-examples-common-operations.all)
+ [
### Consentire le operazioni SELECT
](#security_iam_id-based-policy-examples-common-operations.select)
+ [
### Consentire le operazioni SELECT su più risorse
](#security_iam_id-based-policy-examples-common-operations.select-multiple-resources)
+ [
### Consentire le operazioni sui metadati
](#security_iam_id-based-policy-examples-common-operations.metadata)
+ [
### Consentire le operazioni INSERT
](#security_iam_id-based-policy-examples-common-operations.insert)
+ [
### Consentire le operazioni CRUD
](#security_iam_id-based-policy-examples-common-operations.crud)
+ [
### Annulla le interrogazioni e seleziona i dati senza specificare le risorse
](#security_iam_id-based-policy-examples-common-operations.cancel-selectvalues)
+ [
### Creare, descrivere, eliminare e descrivere un database
](#security_iam_id-based-policy-examples-common-operations.cddd)
+ [
### Limita i database elencati per tag `{"Owner": "${username}"}`
](#security_iam_id-based-policy-examples-common-operations.list-by-tag)
+ [
### Elenca tutte le tabelle in un database
](#security_iam_id-based-policy-examples-common-operations.list-all-tables)
+ [
### Crea, descrivi, elimina, aggiorna e seleziona in una tabella
](#security_iam_id-based-policy-examples-common-operations.cddus-table)
+ [
### Limita una query per tabella
](#security_iam_id-based-policy-examples-common-operations.limit-query-table)
### Consentire tutte le operazioni
Di seguito è riportato un esempio di politica che consente tutte le operazioni in Timestream per. LiveAnalytics
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:*"
],
"Resource": "*"
}
]
}
```
------
### Consentire le operazioni SELECT
La seguente politica di esempio consente interrogazioni `SELECT` in stile -style su una risorsa specifica.
**Nota**
``Sostituiscilo con l'ID del tuo account Amazon.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:Select",
"timestream:DescribeTable",
"timestream:ListMeasures"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
},
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:SelectValues",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### Consentire le operazioni SELECT su più risorse
La seguente politica di esempio consente interrogazioni `SELECT` in stile C su più risorse.
**Nota**
``Sostituiscilo con l'ID del tuo account Amazon.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:Select",
"timestream:DescribeTable",
"timestream:ListMeasures"
],
"Resource": [
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps",
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps1",
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps2"
]
},
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:SelectValues",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### Consentire le operazioni sui metadati
La seguente politica di esempio consente all'utente di eseguire query sui metadati, ma non consente all'utente di eseguire operazioni di lettura o scrittura di dati effettivi in Timestream for. LiveAnalytics
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:DescribeTable",
"timestream:ListMeasures",
"timestream:SelectValues",
"timestream:ListTables",
"timestream:ListDatabases",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### Consentire le operazioni INSERT
La seguente politica di esempio consente a un utente di eseguire un'`INSERT`operazione sull'account `database/sampleDB/table/DevOps` in``.
**Nota**
``Sostituiscilo con l'ID del tuo account Amazon.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"timestream:WriteRecords"
],
"Resource": [
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
],
"Effect": "Allow"
},
{
"Action": [
"timestream:DescribeEndpoints"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
### Consentire le operazioni CRUD
La seguente politica di esempio consente a un utente di eseguire operazioni CRUD in Timestream for. LiveAnalytics
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:CreateTable",
"timestream:DescribeTable",
"timestream:CreateDatabase",
"timestream:DescribeDatabase",
"timestream:ListTables",
"timestream:ListDatabases",
"timestream:DeleteTable",
"timestream:DeleteDatabase",
"timestream:UpdateTable",
"timestream:UpdateDatabase"
],
"Resource": "*"
}
]
}
```
------
### Annulla le interrogazioni e seleziona i dati senza specificare le risorse
La seguente politica di esempio consente a un utente di annullare le query ed eseguire `Select` query sui dati che non richiedono la specificazione delle risorse:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:SelectValues",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### Creare, descrivere, eliminare e descrivere un database
La seguente politica di esempio consente a un utente di creare, descrivere, eliminare e descrivere un database`sampleDB`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:CreateDatabase",
"timestream:DescribeDatabase",
"timestream:DeleteDatabase",
"timestream:UpdateDatabase"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB"
}
]
}
```
------
### Limita i database elencati per tag `{"Owner": "${username}"}`
La seguente politica di esempio consente a un utente di elencare tutti i database etichettati con una coppia chiave-valore`{"Owner": "${username}"}`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:ListDatabases"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
### Elenca tutte le tabelle in un database
La seguente politica di esempio per elencare tutte le tabelle nel database`sampleDB`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:ListTables"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/"
}
]
}
```
------
### Crea, descrivi, elimina, aggiorna e seleziona in una tabella
La seguente politica di esempio consente a un utente di creare tabelle, descrivere tabelle, eliminare tabelle, aggiornare tabelle ed eseguire `Select` query sulla tabella `DevOps` nel database`sampleDB`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:CreateTable",
"timestream:DescribeTable",
"timestream:DeleteTable",
"timestream:UpdateTable",
"timestream:Select"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
}
]
}
```
------
### Limita una query per tabella
La seguente politica di esempio consente a un utente di interrogare tutte le tabelle tranne quelle `DevOps` del database`sampleDB`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:Select"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/*"
},
{
"Effect": "Deny",
"Action": [
"timestream:Select"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
}
]
}
```
------
## Timestream per l'accesso alle LiveAnalytics risorse in base ai tag
Puoi utilizzare le condizioni della tua politica basata sull'identità per controllare l'accesso a Timestream per le risorse basate sui tag. LiveAnalytics Questa sezione fornisce alcuni esempi.
L'esempio seguente mostra come è possibile creare una politica che conceda a un utente le autorizzazioni per visualizzare una tabella se la tabella `Owner` contiene il valore del nome utente di quell'utente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadOnlyAccessTaggedTables",
"Effect": "Allow",
"Action": "timestream:Select",
"Resource": "arn:aws:timestream:us-east-2:111122223333:database/mydatabase/table/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
Puoi allegare questa policy agli utenti IAM nel tuo account. Se un utente denominato `richard-roe` tenta di visualizzare un Timestream per la LiveAnalytics tabella, la tabella deve essere contrassegnata con o. `Owner=richard-roe` `owner=richard-roe` In caso contrario, gli viene negato l'accesso. La chiave di tag di condizione `Owner` corrisponde a `Owner` e `owner` perché i nomi delle chiavi di condizione non effettuano la distinzione tra maiuscole e minuscole. Per ulteriori informazioni, consulta la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l'utente di IAM*.
La seguente politica concede a un utente le autorizzazioni per creare tabelle con tag se il tag passato nella richiesta ha una chiave `Owner` e un valore: `username`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTagTableUser",
"Effect": "Allow",
"Action": [
"timestream:CreateTable",
"timestream:TagResource"
],
"Resource": "arn:aws:timestream:us-east-2:111122223333:database/mydatabase/table/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:RequestTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
La politica seguente consente l'uso dell'`DescribeDatabase`API su qualsiasi database con il `env` tag impostato su uno dei seguenti o`dev`: `test`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribe",
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:DescribeDatabase"
],
"Resource": "*"
},
{
"Sid": "AllowTagAccessForDevResources",
"Effect": "Allow",
"Action": [
"timestream:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/env": [
"test",
"dev"
]
}
}
}
]
}
```
------
Questa politica utilizza una `Condition` chiave per consentire l'aggiunta o l'aggiunta di un tag con la chiave `env` e il valore di `test` o `dev` a una risorsa. `qa`
## Query pianificate
### Elenca, elimina, aggiorna, esegui ScheduledQuery
La seguente politica di esempio consente a un utente di elencare, eliminare, aggiornare ed eseguire query pianificate.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:DeleteScheduledQuery",
"timestream:ExecuteScheduledQuery",
"timestream:UpdateScheduledQuery",
"timestream:ListScheduledQueries",
"timestream:DescribeEndpoints"
],
"Resource": "*"
}
]
}
```
------
### CreateScheduledQuery utilizzando una chiave KMS gestita dal cliente
La seguente politica di esempio consente a un utente di creare una query pianificata crittografata utilizzando una chiave KMS gestita dal cliente;. **
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::123456789012:role/ScheduledQueryExecutionRole"
],
"Effect": "Allow"
},
{
"Action": [
"timestream:CreateScheduledQuery",
"timestream:DescribeEndpoints"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/",
"Effect": "Allow"
}
]
}
```
------
### DescribeScheduledQuery utilizzando una chiave KMS gestita dal cliente
La seguente politica di esempio consente a un utente di descrivere una query pianificata creata utilizzando una chiave KMS gestita dal cliente;. **
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"timestream:DescribeScheduledQuery",
"timestream:DescribeEndpoints"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/",
"Effect": "Allow"
}
]
}
```
------
### Autorizzazioni per i ruoli di esecuzione (utilizzo di una chiave KMS gestita dal cliente per le query pianificate e SSE-KMS per le segnalazioni di errori)
Allega la seguente policy di esempio al ruolo IAM specificato nel `ScheduledQueryExecutionRoleArn` parametro, dell'`CreateScheduledQuery`API che utilizza la chiave KMS gestita dal cliente per la crittografia delle query pianificate e la crittografia delle segnalazioni di errori. `SSE-KMS`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/",
"Effect": "Allow"
},
{
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-west-2:123456789012:key/",
"arn:aws:kms:us-west-2:123456789012:key/",
"arn:aws:kms:us-west-2:123456789012:key/"
],
"Effect": "Allow"
},
{
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:us-west-2:123456789012:scheduled-query-notification-topic-*"
],
"Effect": "Allow"
},
{
"Action": [
"timestream:Select",
"timestream:SelectValues",
"timestream:WriteRecords"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"s3:PutObject",
"s3:GetBucketAcl"
],
"Resource": [
"arn:aws:s3:::scheduled-query-error-bucket",
"arn:aws:s3:::scheduled-query-error-bucket/*"
],
"Effect": "Allow"
}
]
}
```
------
### Ruolo di esecuzione, relazione di fiducia
Di seguito è riportata la relazione di fiducia per il ruolo IAM specificato nel `ScheduledQueryExecutionRoleArn` parametro dell'`CreateScheduledQuery`API.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"timestream.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### Consenti l'accesso a tutte le query pianificate create all'interno di un account
Allega la seguente policy di esempio al ruolo IAM specificato nel `ScheduledQueryExecutionRoleArn` parametro dell'`CreateScheduledQuery`API per consentire l'accesso a tutte le query pianificate create all'interno di un account. *Account\$1ID*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "timestream.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "Account_ID"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:timestream:us-west-2:111122223333:scheduled-query/*"
}
}
}
]
}
```
------
### Consenti l'accesso a tutte le query pianificate con un nome specifico
Allega la seguente policy di esempio al ruolo IAM specificato nel `ScheduledQueryExecutionRoleArn` parametro dell'`CreateScheduledQuery`API per consentire l'accesso a tutte le query pianificate con un nome che inizia con*Scheduled\$1Query\$1Name*, all'interno dell'account. *Account\$1ID*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "timestream.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "Account_ID"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:timestream:us-west-2:111122223333:scheduled-query/Scheduled_Query_Name*"
}
}
}
]
}
```
------
# Risoluzione dei problemi relativi all'identità e all'accesso di Amazon Timestream LiveAnalytics
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con Timestream for e IAM. LiveAnalytics
**Topics**
+ [
## Non sono autorizzato a eseguire un'azione in Timestream per LiveAnalytics
](#security_iam_troubleshoot-no-permissions)
+ [
## Non sono autorizzato a eseguire iam: PassRole
](#security_iam_troubleshoot-passrole)
+ [
## Desidero consentire a persone esterne al mio AWS account di accedere al mio Timestream per ottenere risorse LiveAnalytics
](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un'azione in Timestream per LiveAnalytics
Se ti Console di gestione AWS dice che non sei autorizzato a eseguire un'azione, devi contattare l'amministratore per ricevere assistenza. L’amministratore è colui che ti ha fornito le credenziali di accesso.
Il seguente errore di esempio si verifica quando l'utente `mateojackson` IAM tenta di utilizzare la console per visualizzare i dettagli su a *table* ma non dispone `timestream:Select` delle autorizzazioni per la tabella.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: timestream:Select on resource: mytable
```
In questo caso, Mateo chiede al suo amministratore di aggiornare le policy per poter accedere alla risorsa `mytable` mediante l'operazione `timestream:Select`.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue politiche devono essere aggiornate per consentirti di assegnare un ruolo a Timestream for. LiveAnalytics
Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in Timestream for. LiveAnalytics Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Desidero consentire a persone esterne al mio AWS account di accedere al mio Timestream per ottenere risorse LiveAnalytics
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per consentire alle persone di accedere alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Timestream for LiveAnalytics supporta queste funzionalità, consulta. [Come funziona Amazon Timestream for con IAM LiveAnalytics](security_iam_service-with-iam.md)
+ Per scoprire come fornire l'accesso alle risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM di un altro Account AWS utente di tua proprietà nella](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) *IAM User* Guide. Account AWS
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente di IAM*.
# Registrazione e monitoraggio in Timestream per LiveAnalytics
Il monitoraggio è una parte importante del mantenimento dell'affidabilità, della disponibilità e delle prestazioni di Timestream for LiveAnalytics e delle vostre soluzioni. AWS È necessario raccogliere i dati di monitoraggio da tutte le parti della AWS soluzione in modo da poter eseguire più facilmente il debug di un errore multipunto, se si verifica. Tuttavia, prima di iniziare a monitorare Timestream for LiveAnalytics, è necessario creare un piano di monitoraggio che includa le risposte alle seguenti domande:
+ Quali sono gli obiettivi del monitoraggio?
+ Di quali risorse si intende eseguire il monitoraggio?
+ Con quale frequenza sarà eseguito il monitoraggio di queste risorse?
+ Quali strumenti di monitoraggio verranno utilizzati?
+ Chi eseguirà i processi di monitoraggio?
+ Chi deve ricevere una notifica quando si verifica un problema?
Il passaggio successivo consiste nello stabilire una linea di base per il normale Timestream per LiveAnalytics le prestazioni nell'ambiente in uso, misurando le prestazioni in diversi momenti e in diverse condizioni di carico. Durante il monitoraggio di Timestream LiveAnalytics, memorizzate i dati di monitoraggio storici in modo da poterli confrontare con i dati sulle prestazioni correnti, identificare i modelli di prestazioni normali e le anomalie delle prestazioni e ideare metodi per risolvere i problemi.
Per stabilire una baseline, devi monitorare almeno gli elementi seguenti:
+ Errori di sistema, in modo da poter determinare se le richieste hanno generato un errore.
**Topics**
+ [
# Strumenti di monitoraggio
](monitoring-automated-manual.md)
+ [
# Registrazione del timestream per le chiamate API con LiveAnalytics AWS CloudTrail
](logging-using-cloudtrail.md)
# Strumenti di monitoraggio
AWS fornisce vari strumenti che è possibile utilizzare per monitorare Timestream per. LiveAnalytics Alcuni di questi strumenti possono essere configurati in modo che eseguano automaticamente il monitoraggio, mentre altri richiedono l'intervento manuale. Si consiglia di automatizzare il più possibile i processi di monitoraggio.
**Topics**
+ [
## Strumenti di monitoraggio automatici
](#monitoring-automated_tools)
+ [
## Strumenti di monitoraggio manuali
](#monitoring-manual-tools)
## Strumenti di monitoraggio automatici
Puoi utilizzare i seguenti strumenti di monitoraggio automatizzato per guardare Timestream LiveAnalytics e segnalare quando qualcosa non va:
+ **Amazon CloudWatch Alarms**: monitora una singola metrica in un periodo di tempo specificato ed esegui una o più azioni in base al valore della metrica rispetto a una determinata soglia in diversi periodi di tempo. L'azione è una notifica inviata a un argomento di Amazon Simple Notification Service (Amazon SNS) o a una policy di Amazon EC2 Auto Scaling. CloudWatch gli allarmi non richiamano azioni semplicemente perché si trovano in uno stato particolare; lo stato deve essere cambiato e mantenuto per un determinato numero di periodi. Per ulteriori informazioni, consulta [Monitoraggio con Amazon CloudWatch](monitoring-cloudwatch.md).
## Strumenti di monitoraggio manuali
Un'altra parte importante del monitoraggio di Timestream for LiveAnalytics riguarda il monitoraggio manuale degli elementi che gli CloudWatch allarmi non coprono. Il Timestream for LiveAnalytics, CloudWatch Trusted Advisor, e altri Console di gestione AWS dashboard forniscono una at-a-glance visione dello stato dell'ambiente. AWS
+ La CloudWatch home page mostra quanto segue:
+ Stato e allarmi attuali
+ Grafici degli allarmi e delle risorse
+ Stato di integrità dei servizi
Inoltre, è possibile utilizzare CloudWatch per effettuare le seguenti operazioni:
+ Crea [pannelli di controllo personalizzati](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/CloudWatch_Dashboards.html) per monitorare i servizi di interesse.
+ Crea grafici dei dati dei parametri per la risoluzione di problemi e il rilevamento di tendenze.
+ Cerca e sfoglia tutte le metriche AWS delle tue risorse
+ Crea e modifica gli allarmi per ricevere le notifiche dei problemi.
# Registrazione del timestream per le chiamate API con LiveAnalytics AWS CloudTrail
Timestream for LiveAnalytics è integrato con AWS CloudTrail, un servizio che fornisce una registrazione delle azioni intraprese da un utente, ruolo o un AWS servizio in Timestream for. LiveAnalytics CloudTrail acquisisce le chiamate API Data Definition Language (DDL) per Timestream for as events. LiveAnalytics Le chiamate acquisite includono chiamate da Timestream per LiveAnalytics console e chiamate di codice a Timestream per le operazioni API. LiveAnalytics Se crei un trail, puoi abilitare la distribuzione continua di CloudTrail eventi a un bucket Amazon Simple Storage Service (Amazon S3), inclusi gli eventi per Timestream for. LiveAnalytics **Se non configuri un percorso, puoi comunque visualizzare gli eventi più recenti sulla CloudTrail console nella cronologia degli eventi.** Utilizzando le informazioni raccolte da CloudTrail, puoi determinare per quale richiesta è stata effettuata a Timestream LiveAnalytics, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e altri dettagli.
Per ulteriori informazioni CloudTrail, consulta la Guida per l'[AWS CloudTrail utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## Timestream per informazioni in LiveAnalytics CloudTrail
CloudTrail è abilitato sul tuo AWS account al momento della creazione dell'account. **Quando si verifica un'attività in Timestream for LiveAnalytics, tale attività viene registrata in un CloudTrail evento insieme ad altri eventi di AWS servizio nella cronologia degli eventi.** È possibile visualizzare, cercare e scaricare gli eventi recenti nell'account AWS . Per ulteriori informazioni, consulta [Visualizzazione degli eventi con CloudTrail la cronologia degli eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
**avvertimento**
Attualmente, Timestream for LiveAnalytics genera CloudTrail eventi per tutte le operazioni di gestione e `Query` API, ma non genera eventi per `WriteRecords` e. `DescribeEndpoints` APIs
Per una registrazione continua degli eventi nel tuo AWS account, inclusi gli eventi per Timestream for LiveAnalytics, crea un percorso. Un *trail* consente di CloudTrail inviare file di log a un bucket Amazon S3. Per impostazione predefinita, quando crei un percorso nella console, il percorso si applica a tutte le AWS regioni. Il trail registra gli eventi di tutte le regioni della AWS partizione e consegna i file di log al bucket Amazon S3 specificato. Inoltre, puoi configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei log. CloudTrail
Per ulteriori informazioni, consulta gli argomenti seguenti nella *Guida per l'utente di AWS CloudTrail *:
+ [Panoramica della creazione di un trail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Servizi e integrazioni supportati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configurazione delle notifiche Amazon SNS per CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Ricezione di file di CloudTrail registro da più regioni](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)
+ [Ricezione di file di CloudTrail registro da più account](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
+ [Registrazione degli eventi relativi ai dati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html)
Ogni evento o voce di log contiene informazioni sull’utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:
+ Se la richiesta è stata effettuata con credenziali utente root o AWS Identity and Access Management (IAM)
+ Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.
+ Se la richiesta è stata effettuata da un altro AWS servizio
Per ulteriori informazioni, consulta [Elemento CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
Per gli eventi `Query` API:
+ Crea un percorso che riceva tutti gli eventi o seleziona gli eventi con Timestream per il tipo di LiveAnalytics `AWS::Timestream::Database` risorsa o. `AWS::Timestream::Table`
+ `Query`Le richieste API che non accedono a nessun database o tabella o che generano un'eccezione di convalida dovuta a una stringa di query non valida vengono registrate CloudTrail con un tipo di risorsa `AWS::Timestream::Database` e un valore ARN di:
```
arn:aws:timestream:(region):(accountId):database/NO_RESOURCE_ACCESSED
```
Questi eventi vengono consegnati solo ai trail che ricevono eventi con tipo di risorsa. `AWS::Timestream::Database`
# Resilienza in Amazon Timestream Live Analytics
L'infrastruttura AWS globale è costruita attorno AWS a regioni e zone di disponibilità. AWS Le regioni forniscono più zone di disponibilità fisicamente separate e isolate, collegate con reti a bassa latenza, ad alto throughput e altamente ridondanti. Con le zone di disponibilità è possibile progettare e gestire applicazioni e database che eseguono automaticamente il failover tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture a data center singolo o multiplo tradizionali.
[Per ulteriori informazioni su AWS regioni e zone di disponibilità, consulta Global Infrastructure.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
Per informazioni sulla funzionalità di protezione dei dati per Timestream disponibile tramite AWS Backup, vedere. [Lavorare con AWS Backup](backups.md)
# Sicurezza dell'infrastruttura in Amazon Timestream Live Analytics
In quanto servizio gestito, Amazon Timestream Live Analytics è protetto dalle AWS procedure di sicurezza di rete globali descritte nel white paper [Amazon Web Services: Overview of](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf) Security Processes.
Utilizzi chiamate API AWS pubblicate per accedere a Timestream Live Analytics attraverso la rete. I client devono supportare Transport Layer Security (TLS) 1.0 o versioni successive. È consigliabile TLS 1.2 o versioni successive. I client devono, inoltre, supportare le suite di cifratura con PFS (Perfect Forward Secrecy), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un principale IAM. In alternativa è possibile utilizzare [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) per generare credenziali di sicurezza temporanee per sottoscrivere le richieste.
Timestream Live Analytics è progettato in modo tale che il traffico sia isolato AWS nella regione specifica in cui risiede l'istanza Timestream Live Analytics.
# Analisi della configurazione e delle vulnerabilità in Timestream
La configurazione e i controlli IT sono una responsabilità condivisa tra voi AWS e voi, i nostri clienti. Per ulteriori informazioni, consulta il [modello di responsabilità AWS condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/). Oltre al modello di responsabilità condivisa, Timestream for LiveAnalytics user deve tenere conto di quanto segue:
+ È responsabilità del cliente applicare patch alle applicazioni client con le relative dipendenze lato client.
+ [I clienti dovrebbero prendere in considerazione i test di penetrazione, se appropriato (vedere https://aws.amazon.com/security/ penetration-testing/.)](https://aws.amazon.com/security/penetration-testing/)
# Risposta agli incidenti in Timestream per LiveAnalytics
[Gli incidenti di servizio di Amazon Timestream LiveAnalytics for Service sono segnalati nella Personal Health Dashboard.](https://phd.aws.amazon.com/phd/home#/) [Puoi saperne di più sulla dashboard e qui. AWS Health](https://docs.aws.amazon.com//health/latest/ug/what-is-aws-health.html)
Timestream for LiveAnalytics supporta la reportistica utilizzando. AWS CloudTrail Per ulteriori informazioni, consulta [Registrazione del timestream per le chiamate API con LiveAnalytics AWS CloudTrail](logging-using-cloudtrail.md).
# Endpoint VPC (AWS PrivateLink)
*Puoi stabilire una connessione privata tra il tuo VPC e Amazon Timestream creando un endpoint VPC LiveAnalytics di interfaccia.* Gli endpoint di interfaccia sono alimentati da [AWS PrivateLink](https://aws.amazon.com/privatelink), una tecnologia che consente di accedere privatamente a Timestream LiveAnalytics APIs senza un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione Direct Connect. AWS Le istanze nel tuo VPC non necessitano di indirizzi IP pubblici per comunicare con Timestream. LiveAnalytics APIs Il traffico tra il tuo VPC e Timestream for LiveAnalytics non esce dalla rete Amazon.
Ogni endpoint dell'interfaccia è rappresentato da una o più [interfacce di rete elastiche](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) nelle sottoreti. *Per ulteriori informazioni sugli endpoint VPC di interfaccia, consulta Interface [VPC endpoints () nella Amazon VPC User AWS PrivateLink Guide](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html).*
Per iniziare con Timestream for e gli endpoint LiveAnalytics VPC, abbiamo fornito informazioni su considerazioni specifiche per Timestream per gli endpoint VPC, sulla creazione di un endpoint LiveAnalytics VPC di interfaccia per Timestream, sulla creazione di una policy di endpoint VPC per Timestream e sull'utilizzo del client Timestream (per LiveAnalytics l'SDK Write o Query) con gli endpoint VPC. LiveAnalytics
**Topics**
+ [
# Come funzionano gli endpoint VPC con Timestream
](VPCEndpoints.vpc-endpoint-considerations.md)
+ [
# Creazione di un endpoint VPC di interfaccia per Timestream per LiveAnalytics
](VPCEndpoints.vpc-endpoint-create.md)
+ [
# Creazione di una policy per gli endpoint VPC per Timestream per LiveAnalytics
](VPCEndpoints.vpc-endpoint-policy.md)
# Come funzionano gli endpoint VPC con Timestream
Quando crei un endpoint VPC per accedere a Timestream Write o Timestream Query SDK, tutte le richieste vengono indirizzate agli endpoint all'interno della rete Amazon e non accedono alla rete Internet pubblica. Più specificamente, le tue richieste vengono indirizzate agli endpoint di scrittura e interrogazione della cella su cui è stato mappato il tuo account per una determinata regione. Per saperne di più sull'architettura cellulare di Timestream e sugli endpoint specifici delle celle, puoi fare riferimento a. [Architettura cellulare](architecture.md#cells) Ad esempio, supponiamo che il tuo account sia stato mappato su `cell1` in `us-west-2` e che tu abbia configurato gli endpoint dell'interfaccia VPC per write (`ingest-cell1.timestream.us-west-2.amazonaws.com`) e queries (). `query-cell1.timestream.us-west-2.amazonaws.com` In questo caso, tutte le richieste di scrittura inviate utilizzando questi endpoint rimarranno interamente all'interno della rete Amazon e non accederanno alla rete Internet pubblica.
## Considerazioni sugli endpoint VPC Timestream
Considera quanto segue quando crei un endpoint VPC per Timestream:
+ *Prima di configurare un endpoint VPC di interfaccia per Timestream LiveAnalytics, assicurati di esaminare le proprietà [e le limitazioni degli endpoint dell'interfaccia nella Amazon VPC User Guide](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations).*
+ Timestream for LiveAnalytics supporta l'esecuzione [di chiamate a tutte le sue azioni API dal tuo](https://docs.aws.amazon.com/timestream/latest/developerguide/API_Reference.html) VPC.
+ Le policy degli endpoint VPC sono supportate per Timestream for. LiveAnalytics Per impostazione predefinita, l'accesso completo a Timestream for LiveAnalytics è consentito tramite l'endpoint. Per ulteriori informazioni, consulta [Controllo degli accessi ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) nella *Guida per l’utente di Amazon VPC.*
+ A causa dell'architettura di Timestream, l'accesso alle azioni Write e Query richiede la creazione di due endpoint di interfaccia VPC, uno per ogni SDK. Inoltre, devi specificare un endpoint di cella (potrai creare un endpoint solo per la cella Timestream a cui sei mappato). Informazioni dettagliate sono disponibili nella sezione [Crea un endpoint VPC di interfaccia per Timestream](VPCEndpoints.vpc-endpoint-create.md) di questa guida. LiveAnalytics
Ora che hai capito come LiveAnalytics funziona Timestream for con gli endpoint VPC, crea [un'interfaccia VPC](VPCEndpoints.vpc-endpoint-create.md) endpoint per Timestream for. LiveAnalytics
# Creazione di un endpoint VPC di interfaccia per Timestream per LiveAnalytics
Puoi creare un [endpoint VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) per il servizio Timestream for LiveAnalytics utilizzando la console Amazon VPC o il (). AWS Command Line Interface AWS CLI Per creare un endpoint VPC per Timestream, completa i passaggi specifici di Timestream descritti di seguito.
**Nota**
Prima di completare i passaggi seguenti, assicurati di aver compreso [le considerazioni specifiche per gli endpoint VPC Timestream](VPCEndpoints.vpc-endpoint-considerations.md).
## Creazione di un nome di servizio endpoint VPC utilizzando la cella Timestream
A causa dell'architettura unica di Timestream, è necessario creare endpoint di interfaccia VPC separati per ogni SDK (Write and Query). Inoltre, devi specificare un endpoint della cella Timestream (potrai creare un endpoint solo per la cella Timestream a cui sei mappato). Per utilizzare Interface VPC Endpoints per connetterti direttamente a Timestream dall'interno del tuo VPC, completa i passaggi seguenti:
1. Innanzitutto, trova un endpoint cellulare Timestream disponibile. Per trovare un endpoint di cella disponibile, usa l'[`DescribeEndpoints`azione](https://docs.aws.amazon.com/timestream/latest/developerguide/API_query_DescribeEndpoints.html) (disponibile sia tramite Write che Query APIs) per elencare gli endpoint di cella disponibili nel tuo account Timestream. Vedi l'[esempio](#VPCEndpoints.vpc-endpoint-create.vpc-endpoint-name.example) per ulteriori dettagli.
1. Dopo aver selezionato un endpoint di cella da utilizzare, crea una stringa di endpoint dell'interfaccia VPC per l'API Timestream Write o Query:
+ *Per l'API Write:*
```
com.amazonaws..timestream.ingest-
```
+ *Per l'API Query:*
```
com.amazonaws..timestream.query-
```
[dove ** è un [codice AWS regionale valido](https://docs.aws.amazon.com/general/latest/gr/rande.html) ed ** è uno degli indirizzi degli endpoint delle celle (ad esempio `cell1` o`cell2`) restituiti nell'[oggetto Endpoints](https://docs.aws.amazon.com/timestream/latest/developerguide/API_query_DescribeEndpoints.html#API_query_DescribeEndpoints_ResponseSyntax) dall'azioneDescribeEndpoints .](https://docs.aws.amazon.com/timestream/latest/developerguide/API_query_DescribeEndpoints.html) Vedi l'[esempio](#VPCEndpoints.vpc-endpoint-create.vpc-endpoint-name.example) per ulteriori dettagli.
1. Ora che hai creato un nome di servizio endpoint VPC, [crea un](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) endpoint di interfaccia. Quando ti viene chiesto di fornire un nome di servizio endpoint VPC, usa il nome del servizio endpoint VPC che hai creato nel passaggio 2.
### Esempio: creazione del nome del servizio endpoint VPC
Nell'esempio seguente, l'`DescribeEndpoints`azione viene eseguita nella AWS CLI utilizzando l'API Write nella `us-west-2` regione:
```
aws timestream-write describe-endpoints --region us-west-2
```
Questo comando restituirà il seguente risultato:
```
{
"Endpoints": [
{
"Address": "ingest-cell1.timestream.us-west-2.amazonaws.com",
"CachePeriodInMinutes": 1440
}
]
}
```
In questo caso, *cell1* è il*| *, ed *us-west-2* è il**. Quindi, il nome del servizio endpoint VPC risultante sarà simile a:
```
com.amazonaws.us-west-2.timestream.ingest-cell1
```
Ora che hai creato un endpoint VPC di interfaccia per Timestream, LiveAnalytics crea [una policy di endpoint VPC](VPCEndpoints.vpc-endpoint-policy.md) per Timestream for. LiveAnalytics
# Creazione di una policy per gli endpoint VPC per Timestream per LiveAnalytics
Puoi allegare una policy per gli endpoint al tuo endpoint VPC che controlla l'accesso a Timestream for. LiveAnalytics La policy specifica le informazioni riportate di seguito:
+ Il principale che può eseguire operazioni.
+ Le azioni che possono essere eseguite.
+ Le risorse sui cui si possono eseguire operazioni.
Per ulteriori informazioni, consulta [Controllo degli accessi ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) in *Guida per l'utente di Amazon VPC*.
**Esempio: policy degli endpoint VPC per Timestream for actions LiveAnalytics**
Di seguito è riportato un esempio di policy sugli endpoint per Timestream for. LiveAnalytics Se associata a un endpoint, questa politica consente l'accesso al Timestream elencato per LiveAnalytics le azioni (in questo caso [https://docs.aws.amazon.com/timestream/latest/developerguide/API_ListDatabases.html](https://docs.aws.amazon.com/timestream/latest/developerguide/API_ListDatabases.html)) per tutti i principali su tutte le risorse.
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"timestream:ListDatabases"
],
"Resource":"*"
}
]
}
```
# Best practice di sicurezza per Amazon Timestream for LiveAnalytics
Amazon Timestream LiveAnalytics for offre una serie di funzionalità di sicurezza da prendere in considerazione durante lo sviluppo e l'implementazione delle proprie politiche di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per l’ambiente, sono da considerare come considerazioni utili anziché prescrizioni.
**Topics**
+ [
# Timestream per le migliori pratiche di sicurezza preventiva LiveAnalytics
](best-practices-security-preventative.md)
# Timestream per le migliori pratiche di sicurezza preventiva LiveAnalytics
Le seguenti best practice possono aiutarti ad anticipare e prevenire gli incidenti di sicurezza in Timestream for. LiveAnalytics
**Crittografia dei dati a riposo**
[Timestream for LiveAnalytics crittografa a riposo tutti i dati utente memorizzati nelle tabelle utilizzando le chiavi di crittografia archiviate in ().AWS Key Management ServiceAWS KMS](https://aws.amazon.com/kms/) Questo fornisce un livello aggiuntivo di protezione dei dati dagli accessi non autorizzati allo storage sottostante.
Timestream for LiveAnalytics utilizza una singola chiave di servizio predefinita (CMK di AWS proprietà) per crittografare tutte le tabelle. Se questa chiave non esiste, viene creata per te. Le chiavi predefinite del servizio non possono essere disabilitate. Per ulteriori informazioni, consulta [Timestream for LiveAnalytics Encryption at](https://docs.aws.amazon.com/mcs/latest/devguide/EncryptionAtRest.html) Rest.
**Usa i ruoli IAM per autenticare l'accesso a Timestream per LiveAnalytics**
Gli utenti, le applicazioni e gli altri AWS servizi per cui accedere a Timestream devono includere AWS credenziali valide nelle loro richieste API. LiveAnalytics AWS Non è necessario archiviare AWS le credenziali direttamente nell'applicazione o nell'istanza EC2. Si tratta di credenziali a lungo termine che non vengono automaticamente ruotate e, pertanto, potrebbero avere un impatto aziendale significativo se compromesse. Un ruolo IAM consente di ottenere le chiavi di accesso temporanee che possono essere utilizzate per accedere ai servizi e alle risorse AWS .
Per ulteriori informazioni, consulta [IAM Roles](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) (Ruoli IAM).
**Utilizza le politiche IAM per Timestream per l'autorizzazione di base LiveAnalytics **
Quando concedi le autorizzazioni, decidi chi le ottiene, per quale Timestream le LiveAnalytics APIs ottengono e le azioni specifiche che desideri consentire su tali risorse. L’implementazione del privilegio minimo è fondamentale per ridurre i rischi di sicurezza e l’impatto che può risultare da errori o intenzioni dannose.
Associa le politiche di autorizzazione alle identità IAM (ovvero utenti, gruppi e ruoli) e quindi concedi le autorizzazioni per eseguire operazioni su Timestream per le risorse. LiveAnalytics
Puoi farlo usando quanto segue:
+ [AWS politiche gestite (predefinite)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)
+ [Policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)
+ [autorizzazione basata su tag](security_iam_service-with-iam.md#security_iam_service-with-iam-tags)
**Valutazione della crittografia lato client**
Se memorizzi dati sensibili o riservati in Timestream for LiveAnalytics, potresti voler crittografare tali dati il più vicino possibile alla loro origine in modo che siano protetti per tutto il loro ciclo di vita. La crittografia dei dati sensibili in transito e in archivio aiuta a garantire che i dati in formato testo non crittografato non siano disponibili per terze parti. | | | |