Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Controlla l'accesso alle API dirette di EBS utilizzando IAM
Per poter utilizzare le API dirette EBS, un utente deve disporre delle policy indicate di seguito. Per ulteriori informazioni, consulta [Modifica delle autorizzazioni per un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html).
Per ulteriori informazioni sulle risorse, le operazioni e le chiavi di contesto delle API dirette di EBS da usare nelle policy di autorizzazione IAM, vedi [Operazioni, risorse e chiavi di condizione per Amazon Elastic Block Store](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticblockstore.html) nell a*Documentazione di riferimento Autorizzazione dei servizi*.
**Importante**
Presta attenzione quando assegni le seguenti policy agli utenti . Assegnando queste policy, potresti consentire l'accesso a un utente a cui viene negato l'accesso alla stessa risorsa tramite le API di Amazon EC2, come CopySnapshot le azioni o. CreateVolume
## Autorizzazioni per la lettura di snapshot
La seguente policy consente di utilizzare le API EBS Direct di *lettura* su tutte le istantanee in una regione specifica. AWS Nella politica, sostituisci {{}} con la regione dell'istantanea.
La policy seguente consente di utilizzare le API dirette EBS di *lettura* negli snapshot con un tag chiave-valore specifico. Nella politica, sostituisci {{}} con il valore chiave del tag e {{}} con il valore del tag.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:ListChangedBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"StringEqualsIgnoreCase": {
"aws:ResourceTag/{{}}": "{{}}"
}
}
}
]
}
```
------
La policy seguente consente di utilizzare tutte le API dirette EBS di *lettura* su tutti gli snapshot dell'account solo entro un intervallo di tempo specifico. Questa policy autorizza l'utilizzo delle API dirette EBS in base alla chiave condizione globale `aws:CurrentTime`. Nella policy, sostituisci l'intervallo di data e ora visualizzato con l'intervallo di data e ora per la policy.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:ListChangedBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"DateGreaterThan": {
"aws:CurrentTime": "{{2018-05-29T00:00:00Z}}"
},
"DateLessThan": {
"aws:CurrentTime": "{{2020-05-29T23:59:59Z}}"
}
}
}
]
}
```
------
Per ulteriori informazioni, consulta [Modifica delle autorizzazioni per un utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) nella *Guida per l'utente IAM*.
## Autorizzazioni per scrivere gli snapshot
La seguente politica consente di utilizzare le API di *scrittura* EBS Direct su tutte le istantanee in una regione specifica. AWS Nella politica, sostituisci {{}} con la regione dell'istantanea.
La policy seguente consente di utilizzare le API dirette EBS di *scrittura* negli snapshot con un tag chiave-valore specifico. Nella politica, sostituisci {{}} con il valore chiave del tag e {{}} con il valore del tag.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ebs:StartSnapshot",
"ebs:PutSnapshotBlock",
"ebs:CompleteSnapshot"
],
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"StringEqualsIgnoreCase": {
"aws:ResourceTag/{{}}": "{{}}"
}
}
}
]
}
```
------
La policy seguente consente di utilizzare tutte le API dirette EBS. Consente inoltre l'operazione `StartSnapshot` solo se viene specificato un ID snapshot padre. Pertanto, questa policy blocca la possibilità di avviare nuovi snapshot se non si specifica uno snapshot padre.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ebs:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"ebs:ParentSnapshot": "arn:aws:ec2:*::snapshot/*"
}
}
}
]
}
```
------
La policy seguente consente di utilizzare tutte le API dirette EBS. Consente inoltre di creare la chiave di tag `user` per un nuovo snapshot. Questa policy garantisce inoltre che l'utente abbia accesso alla creazione di tag. L'operazione `StartSnapshot` è l'unica in grado di specificare i tag.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ebs:*",
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": "user"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "*"
}
]
}
```
------
La policy seguente consente di utilizzare tutte le API dirette EBS di *scrittura* su tutti gli snapshot dell'account solo entro un intervallo di tempo specifico. Questa policy autorizza l'utilizzo delle API dirette EBS in base alla chiave condizione globale `aws:CurrentTime`. Nella policy, sostituisci l'intervallo di data e ora visualizzato con l'intervallo di data e ora per la policy.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ebs:StartSnapshot",
"ebs:PutSnapshotBlock",
"ebs:CompleteSnapshot"
],
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"DateGreaterThan": {
"aws:CurrentTime": "{{2018-05-29T00:00:00Z}}"
},
"DateLessThan": {
"aws:CurrentTime": "{{2020-05-29T23:59:59Z}}"
}
}
}
]
}
```
------
Per ulteriori informazioni, consulta [Modifica delle autorizzazioni per un utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) nella *Guida per l'utente IAM*.
## Autorizzazioni da usare AWS KMS keys
La policy seguente concede l'autorizzazione per decrittografare uno snapshot crittografato utilizzando una chiave KMS specifica. Garantisce inoltre l'autorizzazione per crittografare nuovi snapshot usando la chiave KMS di default per la crittografia EBS. Nella politica, {{}} sostituiscila con la regione della chiave KMS, {{}} con l'ID dell' AWS account della chiave KMS e {{}} con l'ID della chiave KMS.
**Nota**
Per impostazione predefinita, tutti i responsabili dell'account hanno accesso alla chiave KMS AWS gestita predefinita per la crittografia Amazon EBS e possono utilizzarla per le operazioni di crittografia e decrittografia EBS. Se usi una chiave gestita dal cliente, devi creare una nuova policy della chiave o modificare la politica della chiave esistente per la chiave gestita dal cliente, per consentire all'entità principale di accedervi. Per ulteriori informazioni, consulta [Policy delle chiavi in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.
**Suggerimento**
Per seguire il principio del privilegio minimo, non consentire l'accesso completo a `kms:CreateGrant`. Utilizza invece la chiave `kms:GrantIsForAWSResource` condition per consentire all'utente di creare concessioni sulla chiave KMS solo quando la concessione viene creata per conto dell'utente da un AWS servizio, come mostrato nell'esempio seguente.
Per ulteriori informazioni, consulta [Modifica delle autorizzazioni per un utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) nella *Guida per l'utente IAM*.