Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Specificazione delle autorizzazioni per le app in esecuzione su istanze EC2 **Importante** Il AWS OpsWorks Stacks servizio ha raggiunto la fine del ciclo di vita il 26 maggio 2024 ed è stato disabilitato sia per i clienti nuovi che per quelli esistenti. Consigliamo vivamente ai clienti di migrare i propri carichi di lavoro verso altre soluzioni il prima possibile. Se hai domande sulla migrazione, contatta il Supporto AWS Team su [AWS re:post](https://repost.aws/) o tramite Premium [AWS Support](https://aws.amazon.com/support). Se le applicazioni in esecuzione sulle EC2 istanze Amazon del tuo stack devono accedere ad altre risorse AWS, come i bucket Amazon S3, devono disporre delle autorizzazioni appropriate. Per conferire tali autorizzazioni, puoi utilizzare un profilo dell'istanza. [Puoi specificare un profilo di istanza per ogni istanza quando crei uno stack Stacks. OpsWorks](workingstacks-creating.md) ![\[Opzione avanzata nella pagina Add Stack (Aggiungi stack).\]](http://docs.aws.amazon.com/it_it/opsworks/latest/userguide/images/add-stack-instanceproflie.png) Puoi anche specificare un profilo per le istanze di un livello [modificando la configurazione del livello](workinglayers-basics-edit.md). Il profilo dell'istanza specifica un ruolo IAM. Le applicazioni in esecuzione sull'istanza possono assumere quel ruolo per accedere alle risorse AWS, in funzione permessi assegnati dalla policy di ruolo. Per ulteriori informazioni sull'assunzione di un ruolo da parte di un'applicazione, consulta la pagina sull'[assunzione del ruolo tramite chiamata API](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-assume-role.html). È possibile creare un profilo dell'istanza in uno dei seguenti modi: + Utilizza la console o l'API IAM per creare un profilo. Per ulteriori informazioni, consulta l'argomento relativo ai [ruoli (delegazione e federazione)](https://docs.aws.amazon.com/IAM/latest/UserGuide/WorkingWithRoles.html). + Usa un CloudFormation modello per creare un profilo. Per alcuni esempi di come includere risorse IAM in un modello, consulta [Identity and Access Management (IAM) Template Snippets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/quickref-iam.html). Un profilo dell'istanza deve avere una relazione di trust e una policy collegata che assegni i permessi di accesso alle risorse AWS. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } ``` ------ Il profilo dell'istanza deve avere questa relazione di fiducia affinché OpsWorks Stacks agisca per tuo conto. Se utilizzi il ruolo di servizio predefinito, non modificare la relazione di trust. Se crei un ruolo di servizio personalizzato, specifica la relazione di trust come segue: + Se utilizzi la procedura guidata **Create** Role nella [console IAM](https://console.aws.amazon.com/iam/home#roles), specifica il tipo di EC2 ruolo **Amazon** in **AWS Service Roles** nella seconda pagina della procedura guidata. + Se utilizzi un CloudFormation modello, puoi aggiungere qualcosa come segue alla sezione **Risorse** del modello. ``` "Resources": { "OpsWorksEC2Role": { "Type": "AWS::IAM::Role", "Properties": { "AssumeRolePolicyDocument": { "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "ec2.amazonaws.com" ] }, "Action": [ "sts:AssumeRole" ] } ] }, "Path": "/" } }, "RootInstanceProfile": { "Type": "AWS::IAM::InstanceProfile", "Properties": { "Path": "/", "Roles": [ { "Ref": "OpsWorksEC2Role" } ] } } } ``` Quando crei il profilo dell'istanza, puoi allegare una policy appropriata al ruolo del profilo in quel momento. Dopo aver creato lo stack, devi utilizzare la [console o l'API IAM](https://console.aws.amazon.com/iam/) per allegare una policy appropriata al ruolo del profilo. Ad esempio, la seguente policy garantisce l'accesso completo a tutti gli oggetti nel bucket Amazon S3 denominato amzn-s3-demo-bucket. *region*Sostituisci amzn-s3-demo-bucket con valori appropriati alla tua configurazione. Per un esempio di come creare e utilizzare un profilo dell'istanza, consulta [Utilizzo di un bucket Amazon S3](https://docs.aws.amazon.com/opsworks/latest/userguide/gettingstarted.walkthrough.photoapp.html). Se l'applicazione utilizza un profilo di istanza per chiamare l'API OpsWorks Stacks da un' EC2 istanza, la policy deve consentire l'`iam:PassRole`azione oltre alle azioni appropriate per OpsWorks Stacks e altri servizi AWS. L'autorizzazione `iam:PassRole` consente a OpsWorks Stacks di assumere il ruolo di servizio per tuo conto. Per ulteriori informazioni sull'API OpsWorks Stacks, consulta [AWS OpsWorks API Reference.](https://docs.aws.amazon.com/opsworks/latest/APIReference/Welcome.html) Di seguito è riportato un esempio di policy IAM che consente di richiamare qualsiasi azione OpsWorks Stacks da un' EC2 istanza, nonché qualsiasi azione Amazon EC2 o Amazon S3. **Nota** Se non lo consenti`iam:PassRole`, qualsiasi tentativo di richiamare un'azione OpsWorks Stacks fallisce e genera un errore come il seguente: ``` User: arn:aws:sts::123456789012:federated-user/Bob is not authorized to perform: iam:PassRole on resource: arn:aws:sts::123456789012:role/OpsWorksStackIamRole ``` *Per ulteriori informazioni sull'utilizzo dei ruoli su un' EC2 istanza per le autorizzazioni, consulta [Concedere alle applicazioni eseguite su Amazon EC2 Instances l'accesso alle risorse AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/role-usecase-ec2app.html) nella Guida per l'AWS Identity and Access Management utente.*