Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Utilizzo di un ruolo IAM per concedere autorizzazioni ad applicazioni e script in esecuzione su istanze di streaming di applicazioni WorkSpaces
<a name="using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances"></a>

Le applicazioni e gli script eseguiti su istanze di streaming di WorkSpaces Applications devono includere AWS credenziali nelle loro richieste API. AWS Per gestire tali credenziali, puoi creare un ruolo IAM. Un ruolo IAM specifica un set di autorizzazioni che puoi utilizzare per accedere alle risorse. AWS Tuttavia, questo ruolo non è associato in modo univoco a una persona. Al contrario, può essere assunto da chiunque ne abbia bisogno.

Puoi applicare un ruolo IAM a un'istanza di streaming di WorkSpaces Applications. Quando l'istanza di streaming passa (assume) al ruolo, questo fornisce credenziali di sicurezza temporanee. L'applicazione o gli script utilizzano queste credenziali per eseguire azioni API e attività di gestione sull'istanza di streaming. WorkSpaces Applications gestisce il cambio temporaneo delle credenziali per te.

**Topics**
+ [Best practice per l'utilizzo dei ruoli IAM con WorkSpaces le istanze di streaming delle applicazioni](best-practices-for-using-iam-role-with-streaming-instances.md)
+ [Configurazione di un ruolo IAM esistente da utilizzare con le istanze di streaming WorkSpaces delle applicazioni](configuring-existing-iam-role-to-use-with-streaming-instances.md)
+ [Come creare un ruolo IAM da utilizzare con WorkSpaces le istanze di streaming delle applicazioni](how-to-create-iam-role-to-use-with-streaming-instances.md)
+ [Come utilizzare il ruolo IAM con WorkSpaces le istanze di streaming delle applicazioni](how-to-use-iam-role-with-streaming-instances.md)

# Best practice per l'utilizzo dei ruoli IAM con WorkSpaces le istanze di streaming delle applicazioni
<a name="best-practices-for-using-iam-role-with-streaming-instances"></a>

Quando utilizzi i ruoli IAM con WorkSpaces le istanze di streaming di Applications, ti consigliamo di seguire queste pratiche:
+ Limita le autorizzazioni concesse alle azioni e alle AWS risorse dell'API.

  Segui i principi del privilegio minimo quando crei e colleghi le policy IAM ai ruoli IAM associati alle istanze di streaming di WorkSpaces Applications. Quando utilizzi un'applicazione o uno script che richiede l'accesso alle azioni o alle risorse dell' AWS API, determina le azioni e le risorse specifiche richieste. Quindi, creare policy che consentono all'applicazione o allo script di eseguire solo tali operazioni. Per ulteriori informazioni, consulta [Assegnare il privilegio minimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) nella *Guida per l'utente di IAM*.
+ Crea un ruolo IAM per ogni risorsa WorkSpaces Applications.

  La creazione di un ruolo IAM univoco per ogni risorsa WorkSpaces Applications è una pratica che segue i principi del privilegio minimo. Ciò consente inoltre di modificare le autorizzazioni per una risorsa senza influire sulle altre risorse.
+ Limitare l'ambito in cui è possibile utilizzare le credenziali.

  Le policy IAM consentono di definire le condizioni in cui il ruolo IAM può essere utilizzato per accedere a una risorsa. Ad esempio, è possibile includere le condizioni per specificare un intervallo di indirizzi IP da cui le richieste possono provenire. In questo modo si impedisce l'utilizzo delle credenziali al di fuori dell'ambiente. Per ulteriori informazioni, consulta [Utilizzare le condizioni della policy per ulteriore sicurezza](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions) nella *Guida per l'utente IAM*.

# Configurazione di un ruolo IAM esistente da utilizzare con le istanze di streaming WorkSpaces delle applicazioni
<a name="configuring-existing-iam-role-to-use-with-streaming-instances"></a>

Questo argomento descrive come configurare un ruolo IAM esistente in modo da poterlo utilizzare con gli Image Builder e le istanze di streaming del parco istanze.

**Prerequisiti**

Il ruolo IAM che desideri utilizzare con un generatore di immagini di WorkSpaces Applications o un'istanza di streaming della flotta di applicazioni deve soddisfare i seguenti prerequisiti:
+ Il ruolo IAM deve trovarsi nello stesso account Amazon Web Services dell'istanza di streaming WorkSpaces Applications.
+ Il ruolo IAM non può essere un ruolo di servizio.
+ La politica di relazione di fiducia associata al ruolo IAM deve includere il servizio WorkSpaces Applications come principale. Un *principale* è un'entità in AWS grado di eseguire azioni e accedere alle risorse. La policy deve includere anche l'operazione `sts:AssumeRole`. Questa configurazione dei criteri definisce WorkSpaces le applicazioni come entità attendibili.

  
+ Se state applicando il ruolo IAM a un generatore di immagini, quest'ultimo deve eseguire una versione dell'agente WorkSpaces Applications rilasciata a partire dal 3 settembre 2019. Se stai applicando il ruolo IAM a una flotta, la flotta deve utilizzare un'immagine che utilizzi una versione dell'agente rilasciata nella stessa data o dopo la stessa data. Per ulteriori informazioni, consulta [WorkSpaces Note sulla versione di Applications Agent](agent-software-versions.md). 

**Per consentire al responsabile del servizio WorkSpaces Applications di assumere un ruolo IAM esistente**

Per eseguire la procedura seguente, devi accedere all'account come utente IAM che dispone delle autorizzazioni necessarie per elencare e aggiornare i ruoli IAM. Se non disponi delle autorizzazioni necessarie, contatta l'amministratore dell'account Amazon Web Services per eseguire queste fasi nel tuo account o per ottenere le autorizzazioni necessarie.

1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione, seleziona **Ruoli**. 

1. Nell'elenco di ruoli dell'account selezionare il nome del ruolo da modificare.

1. Selezionare la scheda **Trust relationships (Relazioni di trust)** e scegliere **Edit trust relationship (Modifica relazione di trust)**.

1. In **Policy Document (Documento policy)**, verificare che la policy della relazione di trust includa l'operazione `sts:AssumeRole` per l'entità principale del servizio `appstream.amazonaws.com`:

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": [
             "appstream.amazonaws.com"
           ]
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

1. Una volta completata la modifica della policy di attendibilità, selezionare **Update Trust Policy (Aggiorna policy di attendibilità)** per salvare le modifiche. 

1. Il ruolo IAM selezionato verrà visualizzato nella console WorkSpaces Applicazioni. Questo ruolo concede le autorizzazioni alle applicazioni e agli script per eseguire operazioni API e attività di gestione sulle istanze di streaming.

# Come creare un ruolo IAM da utilizzare con WorkSpaces le istanze di streaming delle applicazioni
<a name="how-to-create-iam-role-to-use-with-streaming-instances"></a>

Questo argomento descrive come creare un nuovo ruolo IAM in modo da poterlo utilizzare con gli Image Builder e le istanze di streaming del parco istanze.

1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel pannello di navigazione, scegli **Ruoli** e quindi **Crea ruolo**.

1. In **Select type of trusted entity (Seleziona tipo di entità attendibile)**, scegli **AWS service (Servizio)**.

1. Dall'elenco dei AWS servizi, scegli **WorkSpaces Applicazioni**.

1. In **Seleziona il tuo caso d'uso**, WorkSpaces è già selezionata l'opzione ** WorkSpaces Applicazioni: consente alle istanze di Applications di chiamare i AWS servizi per tuo conto**. Scegli **Successivo: autorizzazioni**.

1. Se possibile, selezionare la policy delle autorizzazioni da utilizzare o scegliere **Crea policy** per aprire una nuova scheda del browser e creare una nuova policy da zero. Per ulteriori informazioni, consulta la fase 4 nella procedura [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) nella *Guida per l'utente di IAM*.

   Una volta creata la policy, chiudere la scheda e tornare alla scheda originale. Seleziona la casella di controllo accanto alle politiche di autorizzazione che desideri assegnare alle WorkSpaces Applicazioni.

1. (Facoltativo) Impostare un limite delle autorizzazioni. Questa è una funzionalità avanzata disponibile per i ruoli di servizio, ma non per i ruoli collegati ai servizi. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l'utente di IAM*.

1. Scegli **Successivo: Tag**. È inoltre possibile collegare tag come coppie chiave-valore. Per ulteriori informazioni, consulta [Tagging delle risorse IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) nella *Guida per l'utente IAM*.

1. Scegli **Prossimo: Rivedi**.

1. Per **Nome ruolo**, digita un nome di ruolo univoco all'interno dell'account Amazon Web Services. Poiché altre AWS risorse potrebbero fare riferimento al ruolo, non puoi modificare il nome del ruolo dopo che è stato creato.

1. Per **Role description (Descrizione ruolo)**, mantenere la descrizione del ruolo predefinita o digitarne una nuova.

1. Verificare il ruolo e quindi scegliere **Create role (Crea ruolo)**.

# Come utilizzare il ruolo IAM con WorkSpaces le istanze di streaming delle applicazioni
<a name="how-to-use-iam-role-with-streaming-instances"></a>

Dopo aver creato un ruolo IAM, puoi applicarlo a un Image Builder o a un'istanza di streaming del parco istanze quando avvii l'Image Builder o crei un parco istanze. Puoi anche applicare un ruolo IAM ai parchi istanze esistenti. Per informazioni su come applicare un ruolo IAM all'avvio di un Image Builder, consulta [Avvio di uno sviluppatore di immagini per installare e configurare applicazioni per lo streaming](tutorial-image-builder-create.md). Per informazioni su come applicare il ruolo IAM al momento della creazione di un parco istanze, consulta [Crea una flotta nelle WorkSpaces applicazioni Amazon](set-up-stacks-fleets-create.md).

Quando applichi un ruolo IAM al tuo generatore di immagini o all'istanza di streaming della flotta, WorkSpaces Applications recupera le credenziali temporanee e crea il profilo di credenziali **appstream\$1machine\$1role** sull'istanza. Le credenziali temporanee sono valide per 1 ora e nuove credenziali vengono recuperate ogni ora. Le credenziali precedenti non scadono, quindi è possibile utilizzarle per tutto il tempo in cui sono valide. Puoi utilizzare il profilo delle credenziali per chiamare AWS i servizi a livello di codice utilizzando l'interfaccia a riga di AWS comando (AWS CLI), AWS Tools for PowerShell o l' AWS SDK con il linguaggio che preferisci.

Quando si effettuano le chiamate API, specificare **appStream\$1machine\$1role** come profilo delle credenziali. In caso contrario, l'operazione ha esito negativo a causa di autorizzazioni insufficienti.

WorkSpaces Le applicazioni assumono il ruolo specificato durante il provisioning dell'istanza di streaming. Poiché WorkSpaces Applications utilizza l'interfaccia di rete elastica collegata al VPC per le chiamate AWS API, l'applicazione o lo script deve attendere che l'interfaccia di rete elastica diventi disponibile prima di effettuare chiamate AWS API. Se le chiamate API vengono effettuate prima che l'interfaccia di rete elastica sia disponibile, le chiamate non vanno a buon fine.

I seguenti esempi mostrano come utilizzare il profilo delle credenziali ** appStream\$1machine\$1role** per descrivere le istanze di streaming (istanze EC2) e per creare il client Boto. Boto è l'Amazon Web Services SDK Amazon Web Services (AWS) per Python. 

**Descrivi le istanze di streaming (istanze EC2) utilizzando la CLI AWS **

```
aws ec2 describe-instances --region us-east-1 --profile appstream_machine_role
```

**Descrivi le istanze di streaming (istanze EC2) utilizzando gli strumenti per AWS PowerShell**

È necessario utilizzare AWS Tools per la PowerShell versione 3.3.563.1 o successiva, con l'Amazon Web Services SDK for .NET versione 3.3.103.22 o successiva. Puoi scaricare il programma di installazione di AWS Tools for Windows, che include AWS Tools for PowerShell e Amazon Web Services SDK for .NET, dal AWS sito Web [Tools PowerShell](https://aws.amazon.com/powershell/) for.

```
Get-EC2Instance -Region us-east-1 -ProfileName appstream_machine_role
```

**Creazione del client Boto utilizzando l' AWS SDK per Python**

```
session = boto3.Session(profile_name='appstream_machine_role')
```