

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# In che modo AWS Glue DataBrew funziona con IAM
<a name="security_iam_service-with-iam"></a>

Prima di utilizzare IAM per gestire l'accesso a DataBrew, è necessario comprendere con quali funzionalità IAM è disponibile l'uso DataBrew. Per avere una visione di alto livello di come DataBrew e altri AWS servizi funzionano con IAM, consulta [AWS Services That Work with IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.

**Topics**
+ [DataBrew politiche basate sull'identità](#security_iam_service-with-iam-id-based-policies)
+ [Resource-based politiche in DataBrew](#security_iam_service-with-iam-resource-based-policies)
+ [DataBrew Ruoli IAM](#security_iam_service-with-iam-roles)

## DataBrew politiche basate sull'identità
<a name="security_iam_service-with-iam-id-based-policies"></a>

Con le policy basate su identità IAM puoi specificare azioni e risorse consentite o rifiutate, nonché le condizioni in base alle quali le azioni sono consentite o rifiutate. DataBrew supporta azioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta [Documentazione di riferimento degli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l'utente IAM*.

### Azioni
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, una policy AWS JSON può specificare quale principale può eseguire azioni su quali risorse e in quali condizioni.

L'elemento Azione di una policy JSON descrive le azioni a cui è possibile consentire o negare l'accesso in una policy. Le operazioni di policy hanno spesso lo stesso nome dell’operazione API AWS. Ci sono alcune eccezioni, ad esempio le operazioni di sola autorizzazione che non hanno un’operazione API corrispondente. Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono denominate operazioni dipendenti.

Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.

Le azioni politiche DataBrew utilizzano il seguente prefisso prima dell'azione:. `databrew:` Ad esempio, per concedere a qualcuno l'autorizzazione per eseguire un'istanza Amazon EC2 con l'operazione API `RunInstances` Amazon EC2, è necessario includere l'operazione `ec2:RunInstances` nella policy. Le dichiarazioni politiche devono includere un `NotAction` elemento `Action` or. DataBrew definisce il proprio insieme di azioni che descrivono le attività che è possibile eseguire con esso.

Per specificare più operazioni  in una singola istruzione, separarle con una virgola come mostrato di seguito.

```
"Action": [
      "databrew:CreateRecipeJob",
      "databrew:UpdateSchedule"
```

Puoi specificare più operazioni tramite caratteri jolly (\*). Ad esempio, per specificare tutte le operazioni che iniziano con la parola `Describe`, includi la seguente operazione.

```
"Action": "databrew:Describe*"
```

Per visualizzare un elenco di DataBrew azioni, consulta [Actions Defined by AWS Glue DataBrew](https://docs.aws.amazon.com/service-authorization/latest/reference/list_databrew.html#databrew-actions-as-permissions) nella *IAM User Guide*.

### Resources
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.

L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\*) per indicare che l’istruzione si applica a tutte le risorse.

```
"Resource": "*"
```

Le seguenti sono le DataBrew API che non supportano le autorizzazioni a livello di risorsa:
+ ListDatasets
+ ListJobs
+ ListProjects
+ ListRecipes
+ ListRulesets
+ ListSchedules

La risorsa del DataBrew set di dati ha il seguente Amazon Resource Name (ARN).

```
arn:${Partition}:databrew:${Region}:${Account}:dataset/${Name}
```

Per ulteriori informazioni sul formato degli ARN, consulta [Amazon Resource Names (ARNs) e AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).

Ad esempio, per specificare l'`i-1234567890abcdef0`istanza nell'istruzione, utilizzare il seguente ARN.

```
"Resource": "arn:aws:databrew:us-east-1:123456789012:dataset/my-chess-dataset"
```

Per specificare tutte le istanze database che appartengono a un account specifico, utilizza il carattere jolly (\*).

```
"Resource": "arn:aws:databrew:us-east-1:123456789012:dataset/*"
```

Non è possibile eseguire alcune DataBrew azioni, ad esempio quelle per la creazione di risorse, su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (\*).

```
"Resource": "*"
```

Per visualizzare un elenco dei tipi di DataBrew risorse e dei relativi ARN, consulta [Resources Defined by AWS Glue DataBrew](https://docs.aws.amazon.com/service-authorization/latest/reference/list_databrew.html#databrew-resources-for-iam-policies) nella *IAM User Guide*. Per informazioni sulle operazioni con cui è possibile specificare l’ARN di ogni risorsa, consulta [Operazioni definite da AWS Glue DataBrew](https://docs.aws.amazon.com/service-authorization/latest/reference/list_databrew.html#databrew-actions-as-permissions).

### Chiavi di condizione
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

DataBrew non fornisce chiavi di condizione specifiche del servizio, ma supporta l'utilizzo di alcune chiavi di condizione globali. Per vedere tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.

### Esempi
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



Per visualizzare esempi di politiche DataBrew basate sull'identità, consulta. [Identity-based esempi di policy per AWS Glue DataBrew](security_iam_id-based-policy-examples.md)

## Resource-based politiche in DataBrew
<a name="security_iam_service-with-iam-resource-based-policies"></a>

DataBrew non supporta le politiche basate sulle risorse.

## DataBrew Ruoli IAM
<a name="security_iam_service-with-iam-roles"></a>

Un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) è un'entità all'interno del tuo AWS account che dispone di autorizzazioni specifiche.

### Utilizzo di credenziali temporanee con DataBrew
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

È possibile utilizzare credenziali temporanee per effettuare l'accesso con la federazione, assumere un ruolo IAM o un ruolo multi-account. È possibile ottenere credenziali di sicurezza temporanee chiamando operazioni AWS STS API come [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)o. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) 

DataBrew supporta l'utilizzo di credenziali temporanee. 

### Service-linked ruoli
<a name="security_iam_service-with-iam-roles-service-linked"></a>

[Service-linked i ruoli](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) consentono ai AWS servizi di accedere alle risorse di altri servizi per completare un'azione per conto dell'utente. Service-linked i ruoli vengono visualizzati nel tuo account IAM e sono di proprietà del servizio. Un amministratore può visualizzare, ma non modificare le autorizzazioni dei ruoli collegati ai servizi.

### Scegliere un ruolo IAM in DataBrew
<a name="security_iam_service-with-iam-roles-choose"></a>

Quando crei una risorsa del set di dati in DataBrew, scegli un ruolo IAM per consentire DataBrew l'accesso per tuo conto. Se in precedenza hai creato un ruolo di servizio o un ruolo collegato al servizio, ti DataBrew fornisce un elenco di ruoli tra cui scegliere. Assicurati di scegliere un ruolo che consenta l'accesso in lettura a un bucket o a una AWS Glue Data Catalog risorsa Amazon S3, a seconda dei casi. 