Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Come funziona Amazon Lightsail con IAM
Prima di utilizzare IAM per gestire l'accesso a Lightsail, è necessario comprendere quali funzionalità IAM sono disponibili per l'uso con Lightsail. *Per avere una visione di alto livello di come Lightsail e AWS altri servizi funzionano con IAM, [AWS consulta Services That Work with IAM nella IAM User](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) Guide.*
## Politiche basate sull'identità di Lightsail
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Lightsail supporta azioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta [Documentazione di riferimento degli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l'utente IAM*.
### Azioni
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Le azioni politiche in Lightsail utilizzano il seguente prefisso prima dell'azione:. `lightsail:` Ad esempio, per concedere a qualcuno l'autorizzazione a eseguire un'istanza Lightsail con l'operazione dell'API Lightsail, `CreateInstances` includi l'azione nella sua politica. `lightsail:CreateInstances` Le istruzioni della policy devono includere un elemento `Action` o `NotAction`. Lightsail definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio.
Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:
```
"Action": [
"lightsail:action1",
"lightsail:action2"
```
È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `Create`, includi la seguente azione:
```
"Action": "lightsail:Create*"
```
*Per visualizzare un elenco delle azioni di Lightsail, [consulta Actions Defined by Amazon Lightsail nella IAM User Guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonlightsail.html#amazonlightsail-actions-as-permissions).*
### Resources
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
**Importante**
Lightsail non supporta le autorizzazioni a livello di risorsa per alcune azioni API. Per ulteriori informazioni, consulta [Supporto per autorizzazioni a livello di risorsa e autorizzazioni basate su tag](resource-level-permissions-and-auth-based-on-tags-support.md).
La risorsa dell'istanza Lightsail ha il seguente ARN:
```
arn:${Partition}:lightsail:${Region}:${Account}:Instance/${InstanceId}
```
Per ulteriori informazioni sul formato di ARNs, consulta [Amazon Resource Names (ARNs) e AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Ad esempio, per specificare l'istanza `ea123456-e6b9-4f1d-b518-3ad1234567e6` nell'istruzione, utilizza il seguente ARN:
```
"Resource": "arn:aws:lightsail:us-east-1:123456789012:Instance/ea123456-e6b9-4f1d-b518-3ad1234567e6"
```
Per specificare tutti le istanze che appartengono ad un account specifico, utilizza il carattere jolly (\$1):
```
"Resource": "arn:aws:lightsail:us-east-1:123456789012:Instance/*"
```
Alcune azioni di Lightsail, come quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (\$1).
```
"Resource": "*"
```
Molte azioni dell'API Lightsail coinvolgono più risorse. Ad esempio, `AttachDisk` collega un disco di storage a blocchi Lightsail a un'istanza, quindi un utente IAM deve disporre delle autorizzazioni per utilizzare il disco e l'istanza. Per specificare più risorse in un'unica istruzione, separale con virgole. ARNs
```
"Resource": [
"resource1",
"resource2"
```
*Per visualizzare un elenco dei tipi di risorse Lightsail e ARNs relativi, [consulta Resources Defined by Amazon Lightsail nella IAM User Guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonlightsail.html#amazonlightsail-resources-for-iam-policies).* Per sapere con quali azioni puoi specificare l'ARN di ogni risorsa, consulta [Azioni definite da Amazon Lightsail](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonlightsail.html#amazonlightsail-actions-as-permissions).
### Chiavi di condizione
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Lightsail non fornisce chiavi di condizione specifiche del servizio, ma supporta l'utilizzo di alcune chiavi di condizione globali. *Per visualizzare tutte le chiavi di condizione AWS globali, consulta [AWS Global Condition Context Keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) nella IAM User Guide.*
*Per visualizzare un elenco delle chiavi di condizione di Lightsail, [consulta Condition Keys for Amazon Lightsail nella IAM User Guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonlightsail.html#amazonlightsail-policy-keys).* Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, consulta [Azioni definite da Amazon Lightsail](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonlightsail.html#amazonlightsail-actions-as-permissions).
### Esempi
Per visualizzare esempi di politiche basate sull'identità di Lightsail, consulta Esempi di policy basate sull'identità di [Amazon](security_iam_id-based-policy-examples.md) Lightsail.
## Politiche basate sulle risorse di Lightsail
Lightsail non supporta politiche basate sulle risorse.
## Liste di controllo degli accessi () ACLs
Lightsail non supporta le liste di controllo degli accessi (). ACLs
## Autorizzazione basata sui tag Lightsail
Puoi allegare tag alle risorse Lightsail o passare tag in una richiesta a Lightsail. Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `lightsail:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
**Importante**
Lightsail non supporta l'autorizzazione basata sui tag per alcune azioni API. Per ulteriori informazioni, consulta [Supporto per autorizzazioni a livello di risorsa e autorizzazioni basate su tag](resource-level-permissions-and-auth-based-on-tags-support.md).
[Per ulteriori informazioni sull'etichettatura delle risorse Lightsail, consulta Tag.](amazon-lightsail-tags.md)
Per visualizzare un esempio di politica basata sull'identità per limitare l'accesso a una risorsa in base ai tag di quella risorsa, consulta [Consentire la creazione e l'eliminazione di risorse Lightsail](https://lightsail.aws.amazon.com/ls/docs/en_us/articles/security_iam_id-based-policy-examples#security_iam_id-based-policy-examples-view-widget-tags) basate sui tag.
## Ruoli IAM di Lightsail
Un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) è un'entità all'interno dell'account AWS che dispone di autorizzazioni specifiche.
### Utilizzo di credenziali temporanee con Lightsail
È possibile utilizzare credenziali temporanee per effettuare l'accesso con la federazione, assumere un ruolo IAM o un ruolo multi-account. Puoi ottenere credenziali di sicurezza temporanee chiamando operazioni AWS STS API come o. [AssumeRole[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)
Lightsail supporta l'utilizzo di credenziali temporanee.
### Ruoli collegati ai servizi
[I ruoli collegati ai](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) AWS servizi consentono ai servizi di accedere alle risorse di altri servizi per completare un'azione per conto dell'utente. I ruoli collegati ai servizi sono visualizzati nell'account IAM e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non può modificarle.
Lightsail supporta ruoli collegati ai servizi. [Per informazioni dettagliate sulla creazione o la gestione dei ruoli collegati ai servizi di Lightsail, consulta Ruoli collegati ai servizi.](amazon-lightsail-using-service-linked-roles.md)
### Ruoli dei servizi
Lightsail non supporta i ruoli di servizio.
**Topics**
+ [Politiche basate sull'identità di Lightsail](#security_iam_service-with-iam-id-based-policies)
+ [Politiche basate sulle risorse di Lightsail](#security_iam_service-with-iam-resource-based-policies)
+ [Liste di controllo degli accessi () ACLs](#security_iam_service-with-iam-acls)
+ [Autorizzazione basata sui tag Lightsail](#security_iam_service-with-iam-tags)
+ [Ruoli IAM di Lightsail](#security_iam_service-with-iam-roles)
+ [Esempi di policy basate su identità](security_iam_id-based-policy-examples.md)
+ [Esempi di policy di autorizzazioni a livello di risorsa](security_iam_resource-based-policy-examples.md)
+ [Utilizzo dei ruoli collegati ai servizi](amazon-lightsail-using-service-linked-roles.md)
+ [Gestisci i bucket con IAM](amazon-lightsail-bucket-management-policies.md)
# Concedi le autorizzazioni con privilegi minimi con le policy di identità IAM in Lightsail
Per impostazione predefinita, gli utenti e i ruoli IAM non sono autorizzati a creare o modificare le risorse Lightsail. Inoltre, non possono eseguire attività utilizzando l'API Console di gestione AWS AWS CLI, o AWS . Un amministratore IAM deve creare policy IAM che concedono a utenti e ruoli l'autorizzazione per eseguire operazioni API specifiche sulle risorse specificate di cui hanno bisogno. L'amministratore deve quindi allegare queste policy a utenti o IAM che richiedono tali autorizzazioni.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy nella scheda JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) nella *Guida per l'utente IAM*.
## Best practice delle policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare risorse Amazon Lightsail nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console Lightsail
Per accedere alla console Amazon Lightsail, devi disporre dell'autorizzazione di accesso completo a tutte le azioni e le risorse di Lightsail. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse Lightsail nel tuo account. AWS Se crei una policy basata su identità più restrittiva rispetto alle autorizzazioni minime richieste (ovvero, che non è accesso completo), la console non funzionerà nel modo previsto per le entità (utenti e ruoli IAM) associate a tale policy.
Per garantire che tali entità possano utilizzare la console Lightsail, allega la seguente politica alle entità. Per ulteriori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l'utente di IAM*:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lightsail:*"
],
"Resource": "*"
}
]
}
```
------
Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso AWS CLI o l'API. AWS Al contrario, è possibile accedere solo alle operazioni che soddisfano l'operazione API che stai cercando di eseguire.
## Consenti agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Consentire la creazione e l'eliminazione di risorse Lightsail in base ai tag
Puoi utilizzare le condizioni della tua policy basata sull'identità per controllare l'accesso alle risorse Lightsail in base ai tag. Questo esempio mostra come è possibile creare una policy che impedisca agli utenti di creare nuove risorse Lightsail a meno che nella richiesta `allow` di creazione non venga definito un tag chiave e un valore `true` di. Questa policy, inoltre, impedisce agli utenti di eliminare risorse a meno che non abbiano il tag chiave-valore `allow/true`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lightsail:Create*",
"lightsail:TagResource",
"lightsail:UntagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/allow": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"lightsail:Delete*",
"lightsail:TagResource",
"lightsail:UntagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/allow": "true"
}
}
}
]
}
```
------
L'esempio seguente impedisce agli utenti di modificare il tag per le risorse che hanno un tag chiave-valore diverso da `allow/false`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"lightsail:TagResource"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:ResourceTag/allow": "false"
}
}
}
]
}
```
------
Puoi collegare questo tipo di policy agli utenti IAM nel tuo account. Per ulteriori informazioni, consulta la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l'utente di IAM*.
# Concedi l'accesso a risorse Lightsail specifiche utilizzando le policy IAM
Il concetto di *autorizzazioni a livello di risorsa* indica la possibilità di specificare le risorse su cui gli utenti sono autorizzati a eseguire operazioni. Amazon Lightsail supporta le autorizzazioni a livello di risorsa. Ciò significa che per determinate azioni di Lightsail, puoi controllare quando gli utenti sono autorizzati a utilizzare tali azioni in base a condizioni che devono essere soddisfatte o a risorse specifiche che gli utenti sono autorizzati a utilizzare o modificare. Ad esempio, puoi concedere agli utenti le autorizzazioni per gestire un'istanza o un database con un Amazon Resource Name (ARN) specifico.
**Importante**
Lightsail non supporta le autorizzazioni a livello di risorsa per alcune azioni API. Per ulteriori informazioni, consulta [Supporto per autorizzazioni a livello di risorsa e autorizzazioni basate su tag](resource-level-permissions-and-auth-based-on-tags-support.md).
*Per ulteriori informazioni sulle risorse create o modificate dalle azioni Lightsail ARNs e sulle chiavi di condizione Lightsail che puoi utilizzare in una dichiarazione di policy IAM, [consulta Actions, Resources and Condition Keys for Amazon Lightsail](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonlightsail.html) nella IAM User Guide.*
## Consentire la gestione di un'istanza specifica
La seguente policy consente l'accesso a reboot/start/stop un'istanza, la gestione delle porte delle istanze e la creazione di istantanee dell'istanza per un'istanza specifica. Fornisce inoltre l'accesso in sola lettura ad altre informazioni e risorse relative alle istanze nell'account Lightsail. Nella policy, sostituiscila *InstanceARN* con l'Amazon Resource Name (ARN) della tua istanza.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"lightsail:GetActiveNames",
"lightsail:GetAlarms",
"lightsail:GetAutoSnapshots",
"lightsail:GetBlueprints",
"lightsail:GetBundles",
"lightsail:GetCertificates",
"lightsail:GetCloudFormationStackRecords",
"lightsail:GetContactMethods",
"lightsail:GetDisk",
"lightsail:GetDisks",
"lightsail:GetDiskSnapshot",
"lightsail:GetDiskSnapshots",
"lightsail:GetDistributionBundles",
"lightsail:GetDistributionLatestCacheReset",
"lightsail:GetDistributionMetricData",
"lightsail:GetDistributions",
"lightsail:GetDomain",
"lightsail:GetDomains",
"lightsail:GetExportSnapshotRecords",
"lightsail:GetInstance",
"lightsail:GetInstanceAccessDetails",
"lightsail:GetInstanceMetricData",
"lightsail:GetInstancePortStates",
"lightsail:GetInstances",
"lightsail:GetInstanceSnapshot",
"lightsail:GetInstanceSnapshots",
"lightsail:GetInstanceState",
"lightsail:GetKeyPair",
"lightsail:GetKeyPairs",
"lightsail:GetLoadBalancer",
"lightsail:GetLoadBalancerMetricData",
"lightsail:GetLoadBalancers",
"lightsail:GetLoadBalancerTlsCertificates",
"lightsail:GetOperation",
"lightsail:GetOperations",
"lightsail:GetOperationsForResource",
"lightsail:GetRegions",
"lightsail:GetRelationalDatabase",
"lightsail:GetRelationalDatabaseBlueprints",
"lightsail:GetRelationalDatabaseBundles",
"lightsail:GetRelationalDatabaseEvents",
"lightsail:GetRelationalDatabaseLogEvents",
"lightsail:GetRelationalDatabaseLogStreams",
"lightsail:GetRelationalDatabaseMetricData",
"lightsail:GetRelationalDatabaseParameters",
"lightsail:GetRelationalDatabases",
"lightsail:GetRelationalDatabaseSnapshot",
"lightsail:GetRelationalDatabaseSnapshots",
"lightsail:GetStaticIp",
"lightsail:GetStaticIps",
"lightsail:IsVpcPeered"
],
"Resource": "*"
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": [
"lightsail:CloseInstancePublicPorts",
"lightsail:CreateInstanceSnapshot",
"lightsail:OpenInstancePublicPorts",
"lightsail:PutInstancePublicPorts",
"lightsail:RebootInstance",
"lightsail:StartInstance",
"lightsail:StopInstance"
],
"Resource": "arn:aws:lightsail:us-east-2:123456789012:Instance/244ad76f-8aad-4741-809f-12345EXAMPLE"
}
]
}
```
------
Per ottenere l'ARN per la tua istanza, usa l'azione API `GetInstance` Lightsail e specifica il nome dell'istanza utilizzando il parametro. `instanceName` L'istanza ARN verrà elencata nei risultati di tale operazione, come mostrato nell'esempio seguente. Per ulteriori informazioni, consulta [GetInstance](https://docs.aws.amazon.com/lightsail/2016-11-28/api-reference/API_GetInstance.html)*Amazon Lightsail* API Reference.
![\[Un ARN di istanza nei risultati. GetInstance\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/amazon-lightsail-instance-arn.png)
## Consentire la gestione di un database specifico
La seguente politica consente l'accesso reboot/start/stop e l'aggiornamento di un database specifico. Fornisce inoltre l'accesso in sola lettura ad altre informazioni e risorse relative al database nell'account Lightsail. Nella policy, sostituiscilo *DatabaseARN* con l'Amazon Resource Name (ARN) del tuo database.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"lightsail:GetActiveNames",
"lightsail:GetAlarms",
"lightsail:GetAutoSnapshots",
"lightsail:GetBlueprints",
"lightsail:GetBundles",
"lightsail:GetCertificates",
"lightsail:GetCloudFormationStackRecords",
"lightsail:GetContactMethods",
"lightsail:GetDisk",
"lightsail:GetDisks",
"lightsail:GetDiskSnapshot",
"lightsail:GetDiskSnapshots",
"lightsail:GetDistributionBundles",
"lightsail:GetDistributionLatestCacheReset",
"lightsail:GetDistributionMetricData",
"lightsail:GetDistributions",
"lightsail:GetDomain",
"lightsail:GetDomains",
"lightsail:GetExportSnapshotRecords",
"lightsail:GetInstance",
"lightsail:GetInstanceAccessDetails",
"lightsail:GetInstanceMetricData",
"lightsail:GetInstancePortStates",
"lightsail:GetInstances",
"lightsail:GetInstanceSnapshot",
"lightsail:GetInstanceSnapshots",
"lightsail:GetInstanceState",
"lightsail:GetKeyPair",
"lightsail:GetKeyPairs",
"lightsail:GetLoadBalancer",
"lightsail:GetLoadBalancerMetricData",
"lightsail:GetLoadBalancers",
"lightsail:GetLoadBalancerTlsCertificates",
"lightsail:GetOperation",
"lightsail:GetOperations",
"lightsail:GetOperationsForResource",
"lightsail:GetRegions",
"lightsail:GetRelationalDatabase",
"lightsail:GetRelationalDatabaseBlueprints",
"lightsail:GetRelationalDatabaseBundles",
"lightsail:GetRelationalDatabaseEvents",
"lightsail:GetRelationalDatabaseLogEvents",
"lightsail:GetRelationalDatabaseLogStreams",
"lightsail:GetRelationalDatabaseMetricData",
"lightsail:GetRelationalDatabaseParameters",
"lightsail:GetRelationalDatabases",
"lightsail:GetRelationalDatabaseSnapshot",
"lightsail:GetRelationalDatabaseSnapshots",
"lightsail:GetStaticIp",
"lightsail:GetStaticIps",
"lightsail:IsVpcPeered"
],
"Resource": "*"
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": [
"lightsail:RebootRelationalDatabase",
"lightsail:StartRelationalDatabase",
"lightsail:StopRelationalDatabase",
"lightsail:UpdateRelationalDatabase"
],
"Resource": "arn:aws:lightsail:us-east-2:123456789012:RelationalDatabase/244ad76f-8aad-4741-809f-12345EXAMPLE"
}
]
}
```
------
Per ottenere l'ARN per il tuo database, usa l'azione API `GetRelationalDatabase` Lightsail e specifica il nome del database utilizzando il parametro. `relationalDatabaseName` L'ARN del database verrà elencato nei risultati di tale operazione, come mostrato nell'esempio seguente. Per ulteriori informazioni, consulta [GetRelationalDatabase](https://docs.aws.amazon.com/lightsail/2016-11-28/api-reference/API_GetRelationalDatabase.html)*Amazon Lightsail* API Reference.
![\[Un ARN del database nei risultati. GetRelationalDatabase\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/amazon-lightsail-database-arn.png)
# Usa ruoli collegati ai servizi per Amazon Lightsail
[Amazon Lightsail AWS Identity and Access Management utilizza ruoli collegati ai servizi (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente ad Amazon Lightsail. I ruoli collegati ai servizi sono predefiniti da Amazon Lightsail e includono tutte le autorizzazioni richieste da Lightsail per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione di Amazon Lightsail perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Amazon Lightsail definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo Amazon Lightsail può assumerne i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni, che non possono essere collegate a un'altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. In questo modo proteggi le tue risorse Amazon Lightsail perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta [Servizi AWS supportati da IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruolo associato ai servizi**. Scegli un **Sì** con un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
## Autorizzazioni di ruolo collegate ai servizi per Amazon Lightsail
Amazon Lightsail utilizza il ruolo collegato ai servizi denominato **AWSServiceRoleForLightsail**— Role per esportare istantanee di istanze Lightsail e dischi di storage a blocchi su Amazon Elastic Compute Cloud (Amazon EC2) Elastic Compute Cloud (Amazon EC2) e per ottenere l'attuale configurazione Block Public Access a livello di account da Amazon Simple Storage Service (Amazon S3).
Il ruolo collegato al servizio prevede che i seguenti servizi assumano il ruolo: AWSService RoleForLightsail
+ `lightsail.amazonaws.com`
La politica di autorizzazione dei ruoli consente ad Amazon Lightsail di completare le seguenti azioni sulle risorse specificate:
+ Azione: `ec2:CopySnapshot` su tutte le risorse. AWS
+ Azione: `ec2:DescribeSnapshots` su tutte le AWS risorse.
+ Azione: `ec2:CopyImage` su tutte le AWS risorse.
+ Azione: `ec2:DescribeImages` su tutte le AWS risorse.
+ Azione: `cloudformation:DescribeStacks` su tutti gli CloudFormation stack AWS.
+ Azione: `s3:GetAccountPublicAccessBlock` su tutte le AWS risorse.
### Autorizzazioni del ruolo collegato ai servizi
Devi configurare le autorizzazioni per consentire a un'entità IAM; (ad esempio, un utente, un gruppo o un ruolo) di creare o di modificare la descrizione di un ruolo collegato ai servizi.
**Per consentire a un'entità IAM di creare un ruolo specifico collegato ai servizi**
Aggiungi la policy seguente a un'entità IAM che deve creare il ruolo collegato ai servizi.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*",
"Condition": {"StringLike": {"iam:AWSServiceName": "lightsail.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*"
}
]
}
```
------
**Come consentire a un'entità IAM di creare qualunque ruolo collegato ai servizi**
Aggiungi la seguente istruzione alla policy delle autorizzazioni per l'entità IAM che deve creare un ruolo collegato ai servizi o qualunque ruolo di servizio che include le policy di cui ha bisogno. Questa policy assegna una policy al ruolo.
```
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
```
**Come consentire a un'entità IAM di modificare la descrizione di qualunque ruolo di servizio**
Aggiungi la seguente istruzione alla policy delle autorizzazioni per l'entità IAM che deve modificare la descrizione di un ruolo collegato ai servizi o qualunque ruolo di servizio.
```
{
"Effect": "Allow",
"Action": "iam:UpdateRoleDescription",
"Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
```
**Come consentire a un'entità IAM di eliminare un ruolo collegato ai servizi specifico**
Aggiungi la seguente istruzione alla policy delle autorizzazioni per l'entità IAM che deve eliminare il ruolo collegato ai servizi.
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*"
}
```
**Come consentire a un'entità IAM di eliminare qualunque ruolo di servizio**
Aggiungi la seguente istruzione alla policy delle autorizzazioni per l'entità IAM; che deve eliminare un ruolo collegato ai servizi o qualunque ruolo di servizio.
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
```
In alternativa, è possibile utilizzare una policy AWS gestita per fornire l'accesso completo al servizio.
## Creazione di un ruolo collegato ai servizi per Amazon Lightsail
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando esporti un'istanza Lightsail o un'istantanea del disco di storage a blocchi in Amazon EC2 o crei o aggiorni un bucket Lightsail nell' AWS API AWS Console di gestione AWS, Amazon Lightsail crea il ruolo AWS CLI collegato al servizio per te.
Se elimini questo ruolo collegato ai servizi e devi ricrearlo di nuovo, puoi utilizzare lo stesso processo per ricreare il ruolo nel tuo account. Quando esporti un'istanza Lightsail o un'istantanea del disco di storage a blocchi in Amazon EC2 o crei o aggiorni un bucket Lightsail, Amazon Lightsail crea nuovamente il ruolo collegato al servizio per te.
**Importante**
È necessario configurare le autorizzazioni IAM per consentire ad Amazon Lightsail di creare il ruolo collegato al servizio. Per eseguire questa operazione, completare i passaggi nella seguente sezione *Autorizzazioni del ruolo collegato ai servizi*.
## Modifica di un ruolo collegato ai servizi per Amazon Lightsail
Amazon Lightsail non consente di modificare AWSService RoleForLightsail il ruolo collegato al servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta la sezione [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente di IAM*.
## Eliminazione di un ruolo collegato ai servizi per Amazon Lightsail
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, devi confermare che non ci siano istanze o istantanee del disco di Amazon Lightsail in uno stato di copia in sospeso prima di poter eliminare il ruolo collegato al servizio. AWSService RoleForLightsail Per ulteriori informazioni, consulta [Esportazione di snapshot in Amazon EC2](amazon-lightsail-exporting-snapshots-to-amazon-ec2.md).
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM, l'o l' AWS API per AWS CLI eliminare il ruolo collegato al servizio. AWSService RoleForLightsail Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l’utente di IAM*.
## Regioni supportate per i ruoli collegati al servizio Amazon Lightsail
Amazon Lightsail supporta l'utilizzo di ruoli collegati ai servizi in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni sulle regioni in cui è disponibile Lightsail, consulta Amazon [Lightsail](https://docs.aws.amazon.com/general/latest/gr/rande.html#lightsail_region) Regions.
# Gestisci i bucket Lightsail con una policy IAM
La seguente politica concede a un utente l'accesso per gestire un bucket specifico nel servizio di storage di oggetti Amazon Lightsail. Questa politica consente l'accesso ai bucket tramite la console Lightsail, il AWS Command Line Interface ()AWS CLI, l'API e. AWS AWS SDKs Nella policy, sostituiscila ** con il nome del bucket da gestire. Per maggiori informazioni sulla creazione di policy IAM, consulta [Creazione di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l'utente di AWS Identity and Access Management *. Per ulteriori informazioni sulla creazione di utenti e gruppi IAM, consulta [Creazione del primo utente delegato e gruppo di utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-delegated-user.html) nella *Guida per l'utente di AWS Identity and Access Management *
**Importante**
Gli utenti che non dispongono di questo criterio riscontreranno errori durante la visualizzazione della scheda **Oggetti** della pagina di gestione dei bucket nella console Lightsail.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LightsailAccess",
"Effect": "Allow",
"Action": "lightsail:*",
"Resource": "*"
},
{
"Sid": "S3BucketAccess",
"Effect": "Allow",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::/*",
"arn:aws:s3:::"
]
}
]
}
```
------
## Gestione di bucket e oggetti
Questi sono i passaggi generali per gestire il bucket di storage di oggetti Lightsail:
1. Scopri di più su oggetti e bucket nel servizio di storage di oggetti Amazon Lightsail. Per ulteriori informazioni, consulta [Archiviazione di oggetti in Amazon Lightsail](buckets-in-amazon-lightsail.md).
1. Scopri i nomi che puoi dare ai tuoi bucket in Amazon Lightsail. Per ulteriori informazioni, consulta le [regole di denominazione dei bucket in Amazon Lightsail](bucket-naming-rules-in-amazon-lightsail.md).
1. Inizia a usare il servizio di storage di oggetti Lightsail creando un bucket. Per ulteriori informazioni, consulta [Creazione di bucket in Amazon Lightsail](amazon-lightsail-creating-buckets.md).
1. Scopri le best practice di sicurezza per i bucket e le autorizzazioni di accesso che puoi configurare per il tuo bucket. Puoi rendere pubblici o privati tutti gli oggetti nel tuo bucket oppure puoi scegliere di rendere pubblici i singoli oggetti. È inoltre possibile concedere accesso a un bucket creando chiavi di accesso, collegando le istanze al bucket e concedendo accesso ad altri account AWS. Per ulteriori informazioni, consulta le [best practice di sicurezza per lo storage di oggetti Amazon Lightsail](amazon-lightsail-bucket-security-best-practices.md) [e Understanding bucket permissions](amazon-lightsail-understanding-bucket-permissions.md) in Amazon Lightsail.
Dopo aver appreso le autorizzazioni di accesso al bucket, consulta le seguenti guide per concedere l'accesso al bucket:
+ [Blocca l'accesso pubblico per i bucket in Amazon Lightsail](amazon-lightsail-block-public-access-for-buckets.md)
+ [Configurazione delle autorizzazioni di accesso ai bucket in Amazon Lightsail](amazon-lightsail-configuring-bucket-permissions.md)
+ [Configurazione delle autorizzazioni di accesso per singoli oggetti in un bucket in Amazon Lightsail](amazon-lightsail-configuring-individual-object-access.md)
+ [Creazione di chiavi di accesso per un bucket in Amazon Lightsail](amazon-lightsail-creating-bucket-access-keys.md)
+ [Configurazione dell'accesso alle risorse per un bucket in Amazon Lightsail](amazon-lightsail-configuring-bucket-resource-access.md)
+ [Configurazione dell'accesso tra account per un bucket in Amazon Lightsail](amazon-lightsail-configuring-bucket-cross-account-access.md)
1. Scopri come abilitare la registrazione degli accessi per il bucket e come utilizzare i log di accesso per verificarne la sicurezza. Per ulteriori informazioni, consulta le seguenti guide.
+ [Accedi alla registrazione per i bucket nel servizio di storage di oggetti Amazon Lightsail](amazon-lightsail-bucket-access-logs.md)
+ [Formato di log di accesso per un bucket nel servizio di storage di oggetti Amazon Lightsail](amazon-lightsail-bucket-access-log-format.md)
+ [Abilitazione della registrazione degli accessi per un bucket nel servizio di storage di oggetti Amazon Lightsail](amazon-lightsail-enabling-bucket-access-logs.md)
+ [Utilizzo dei log di accesso per un bucket in Amazon Lightsail per identificare le richieste](amazon-lightsail-using-bucket-access-logs.md)
1. Crea una policy IAM che garantisca a un utente la possibilità di gestire un bucket in Lightsail. Per ulteriori informazioni, consulta la [policy di IAM per la gestione dei bucket in Amazon Lightsail](#amazon-lightsail-bucket-management-policies).
1. Scopri come gli oggetti nel tuo bucket vengono etichettati e identificati. Per ulteriori informazioni, consulta [Comprendere i nomi delle chiavi degli oggetti in Amazon Lightsail](understanding-bucket-object-key-names-in-amazon-lightsail.md).
1. Scopri come caricare file e gestire gli oggetti nei tuoi bucket. Per ulteriori informazioni, consulta le seguenti guide.
+ [Caricamento di file in un bucket in Amazon Lightsail](amazon-lightsail-uploading-files-to-a-bucket.md)
+ [Caricamento di file in un bucket in Amazon Lightsail utilizzando il caricamento multiparte](amazon-lightsail-uploading-files-to-a-bucket-using-multipart-upload.md)
+ [Visualizzazione di oggetti in un bucket in Amazon Lightsail](amazon-lightsail-viewing-objects-in-a-bucket.md)
+ [Copiare o spostare oggetti in un bucket in Amazon Lightsail](amazon-lightsail-copying-moving-bucket-objects.md)
+ [Scaricamento di oggetti da un bucket in Amazon Lightsail](amazon-lightsail-downloading-bucket-objects.md)
+ [Filtrare gli oggetti in un bucket in Amazon Lightsail](amazon-lightsail-filtering-bucket-objects.md)
+ [Etichettare oggetti in un bucket in Amazon Lightsail](amazon-lightsail-tagging-bucket-objects.md)
+ [Eliminazione di oggetti in un bucket in Amazon Lightsail](amazon-lightsail-deleting-bucket-objects.md)
1. Abilita il controllo delle versioni degli oggetti per conservare, recuperare e ripristinare ogni versione di ogni oggetto archiviato nel bucket. Per ulteriori informazioni, consulta [Attivazione e sospensione del controllo delle versioni degli oggetti in un bucket in Amazon Lightsail](amazon-lightsail-managing-bucket-object-versioning.md).
1. Dopo aver abilitato il controllo delle versioni degli oggetti, puoi ripristinare le versioni precedenti degli oggetti nel tuo bucket. Per ulteriori informazioni, consulta [Ripristino di versioni precedenti di oggetti in un bucket in Amazon Lightsail](amazon-lightsail-restoring-bucket-object-versions.md).
1. Monitora l'utilizzo del bucket. Per ulteriori informazioni, consulta [Visualizzazione delle metriche per il tuo bucket in Amazon Lightsail](amazon-lightsail-viewing-bucket-metrics.md).
1. Configura un allarme per i parametri del bucket in modo da ricevere una notifica quando l'utilizzo del bucket supera una determinata soglia. Per ulteriori informazioni, consulta [Creazione di allarmi metrici bucket in Amazon Lightsail](amazon-lightsail-adding-bucket-metric-alarms.md).
1. Modifica il piano di archiviazione del bucket se lo spazio di archiviazione e il trasferimento di rete si stanno esaurendo. Per ulteriori informazioni, consulta [Modifica del piano del bucket in Amazon Lightsail](amazon-lightsail-changing-bucket-plans.md).
1. Scopri come collegare il bucket ad altre risorse. Per ulteriori informazioni, consulta i seguenti tutorial.
+ [Tutorial: collegare un' WordPress istanza a un bucket Amazon Lightsail](amazon-lightsail-connecting-buckets-to-wordpress.md)
+ [Tutorial: utilizzo di un bucket Amazon Lightsail con una rete di distribuzione di contenuti Lightsail](amazon-lightsail-using-distributions-with-buckets.md)
1. Elimina il bucket se non lo utilizzi più. Per ulteriori informazioni, consulta [Eliminazione dei bucket in Amazon Lightsail](amazon-lightsail-deleting-buckets.md).