Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Guida introduttiva alla modalità di autorizzazione standard in Amazon QLDB
Usa questa sezione per iniziare a usare la modalità di autorizzazione standard in Amazon QLDB. Questa sezione fornisce una tabella di riferimento per aiutarti a scrivere una policy basata sull'identità in AWS Identity and Access Management (IAM) per azioni PartiQL e risorse di tabella in QLDB. Include anche un step-by-step tutorial per la creazione di politiche di autorizzazione in IAM e istruzioni per trovare un ARN di tabella e creare tag di tabella in QLDB.
**Topics**
+ [La modalità di autorizzazione `STANDARD`](#standard-permissions-mode)
+ [Riferimento alle autorizzazioni PartiQL](#security_iam_partiql-reference)
+ [Trovare un ID di tabella e un ARN](#security_iam_partiql-ref.table-arn)
+ [Tabelle di etichettatura](#security_iam_partiql-ref.table-tags)
+ [Tutorial di avvio rapido: Creazione di politiche di autorizzazione](#getting-started-standard-mode-tutorial)
## La modalità di autorizzazione `STANDARD`
QLDB ora supporta `STANDARD` una modalità di autorizzazione per le risorse contabili. La modalità di autorizzazione standard consente il controllo degli accessi con una maggiore granularità per registri, tabelle e comandi PartiQL. Per impostazione predefinita, questa modalità nega tutte le richieste di esecuzione di comandi PartiQL su qualsiasi tabella in un registro.
**Nota**
In precedenza, l'unica modalità di autorizzazione disponibile per un registro era. `ALLOW_ALL` La `ALLOW_ALL` modalità consente il controllo degli accessi con granularità a livello di API per i registri e continua a essere supportata, ma non è consigliata, per i registri QLDB. Questa modalità consente agli utenti che dispongono dell'autorizzazione `SendCommand` API di eseguire tutti i comandi PartiQL su qualsiasi tabella del registro specificato dalla politica di autorizzazione (quindi, «consenti tutti» i comandi PartiQL).
È possibile modificare la modalità di autorizzazione dei registri esistenti da a. `ALLOW_ALL` `STANDARD` Per informazioni, consultare [Migrazione alla modalità di autorizzazione standard](ledger-management.basics.md#ledger-mgmt.basics.update-permissions.migrating).
Per consentire i comandi in modalità standard, devi creare una politica di autorizzazioni in IAM per risorse di tabella specifiche e azioni PartiQL. Ciò si aggiunge all'autorizzazione `SendCommand` API per il registro. Per facilitare le politiche in questa modalità, QLDB ha introdotto [una serie di azioni](#security_iam_partiql-reference-table) IAM per i comandi PartiQL e Amazon Resource Names ARNs () per le tabelle QLDB. Per ulteriori informazioni sul modello di oggetti dati QLDB, vedere. [Concetti e terminologia fondamentali in Amazon QLDB](ledger-structure.md)
## Riferimento alle autorizzazioni PartiQL
La tabella seguente elenca ogni comando QLDB PartiQL, le azioni IAM corrispondenti per le quali è necessario concedere le autorizzazioni per eseguire il comando AWS e le risorse per le quali è possibile concedere le autorizzazioni. Puoi specificare le azioni nel campo `Action` della policy e il valore della risorsa nel campo `Resource`.
**Importante**
Le politiche IAM che concedono le autorizzazioni a questi comandi PartiQL si applicano al registro solo se `STANDARD` la modalità di autorizzazione è assegnata al registro. Tali politiche non sono applicabili ai registri in modalità autorizzazioni. `ALLOW_ALL`
Per informazioni su come specificare la modalità di autorizzazione durante la creazione o l'aggiornamento di un registro[Operazioni di base per i registri Amazon QLDB](ledger-management.basics.md), consulta o [Fase 1: Creare un nuovo libro contabile](getting-started-step-1.md) in *Guida introduttiva* alla console.
Per eseguire qualsiasi comando PartiQL su un registro, è inoltre necessario concedere l'autorizzazione all'azione `SendCommand` API per la risorsa registro. Ciò si aggiunge alle azioni PartiQL e alle risorse della tabella elencate nella tabella seguente. Per ulteriori informazioni, consulta [Esecuzione di transazioni di dati](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-data-transactions).
**Comandi Amazon QLDB PartiQL e autorizzazioni richieste**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/qldb/latest/developerguide/getting-started-standard-mode.html)
Per esempi di documenti relativi alle policy IAM che concedono le autorizzazioni a questi comandi PartiQL, consulta o consulta[Tutorial di avvio rapido: Creazione di politiche di autorizzazione](#getting-started-standard-mode-tutorial). [Esempi di policy basate sull'identità per Amazon QLDB](security_iam_id-based-policy-examples.md)
## Trovare un ID di tabella e un ARN
[È possibile trovare un ID di tabella utilizzando Console di gestione AWS o interrogando la tabella information\$1schema.user\$1tables.](working.catalog.md) Per visualizzare i dettagli della tabella sulla console o per interrogare questa tabella del catalogo di sistema, è necessario disporre dell'autorizzazione per la risorsa del catalogo di sistema. `SELECT` Ad esempio, per trovare l'ID della `Vehicle` tabella, è possibile eseguire la seguente istruzione.
```
SELECT * FROM information_schema.user_tables
WHERE name = 'Vehicle'
```
Questa query restituisce i risultati in un formato simile all'esempio seguente.
```
{
tableId: "Au1EiThbt8s0z9wM26REZN",
name: "Vehicle",
indexes: [
{ indexId: "Djg2nt0yIs2GY0T29Kud1z", expr: "[VIN]", status: "ONLINE" },
{ indexId: "4tPW3fUhaVhDinRgKRLhGU", expr: "[LicensePlateNumber]", status: "BUILDING" }
],
status: "ACTIVE"
}
```
Per concedere le autorizzazioni per eseguire istruzioni PartiQL su una tabella, si specifica una risorsa di tabella nel seguente formato ARN.
```
arn:aws:qldb:${region}:${account-id}:ledger/${ledger-name}/table/${table-id}
```
Di seguito è riportato un esempio di tabella ARN per l'ID della tabella. `Au1EiThbt8s0z9wM26REZN`
```
arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/Au1EiThbt8s0z9wM26REZN
```
### Utilizzo della console
Puoi anche usare la console QLDB per trovare un ARN di tabella.
**Per trovare l'ARN di una tabella (console)**
1. [Accedi a e apri Console di gestione AWS la console Amazon QLDB all'indirizzo /qldb. https://console.aws.amazon.com](https://console.aws.amazon.com/qldb)
1. **Nel pannello di navigazione, scegli Ledgers.**
1. Nell'elenco dei **libri contabili**, scegliete il nome del libro contabile di cui desiderate trovare l'ARN della tabella.
1. Nella pagina dei dettagli del registro, nella scheda **Tabelle**, individua il nome della tabella di cui desideri trovare l'ARN. Per copiare l'ARN, scegliete l'icona di copia (![\[Copy icon.\]](http://docs.aws.amazon.com/it_it/qldb/latest/developerguide/images/copy.png)) accanto ad esso.
## Tabelle di etichettatura
Puoi etichettare le risorse della tua tabella. Per gestire i tag per le tabelle esistenti, utilizza Console di gestione AWS o le operazioni `TagResource` API e`ListTagsForResource`. `UntagResource` Per ulteriori informazioni, consulta [Etichettare le risorse Amazon QLDB](tagging.md).
**Nota**
Le risorse delle tabelle non ereditano i tag della loro risorsa root ledger.
L'etichettatura delle tabelle al momento della creazione è attualmente supportata per i libri contabili solo in modalità autorizzazioni. `STANDARD`
È inoltre possibile definire i tag della tabella durante la creazione della tabella utilizzando la console QLDB o specificandoli in un'istruzione PartiQL. `CREATE TABLE` L'esempio seguente crea una tabella denominata `Vehicle` con il tag. `environment=production`
```
CREATE TABLE Vehicle WITH (aws_tags = `{'environment': 'production'}`)
```
L'aggiunta di tag alle tabelle al momento della creazione richiede l'accesso `qldb:PartiQLCreateTable` sia alle `qldb:TagResource` azioni che.
L'aggiunta di tag alle risorse in fase di creazione consente di evitare di eseguire script di tagging personalizzati dopo la creazione delle risorse. Dopo aver aggiunto i tag a una tabella, puoi controllare l'accesso alla tabella in base a tali tag. Ad esempio, puoi concedere l'accesso completo solo alle tabelle che hanno un tag specifico. Per un esempio di policy JSON, vedi[Accesso completo a tutte le azioni basate sui tag della tabella](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-full-tags).
### Utilizzo della console
Puoi anche utilizzare la console QLDB per definire i tag della tabella durante la creazione della tabella.
**Per etichettare una tabella al momento della creazione (console)**
1. [Accedi a e apri Console di gestione AWS la console Amazon QLDB all'indirizzo /qldb. https://console.aws.amazon.com](https://console.aws.amazon.com/qldb)
1. **Nel pannello di navigazione, scegli Ledgers.**
1. Nell'elenco dei **libri contabili**, scegli il nome del libro contabile in cui desideri creare la tabella.
1. **Nella pagina dei dettagli del registro, nella scheda **Tabelle**, scegli Crea tabella.**
1. Nella pagina **Crea tabella**, procedi come segue:
+ **Nome tabella**: immettete un nome per la tabella.
+ **Tag**: aggiungi metadati alla tabella allegando i tag come coppie chiave-valore. Puoi aggiungere tag alla tabella per organizzarli e identificarli.
Scegli **Aggiungi tag**, quindi inserisci le coppie chiave-valore appropriate.
1. Dopo aver selezionato le impostazioni desiderate, scegli **Create table (Crea tabella)**.
## Tutorial di avvio rapido: Creazione di politiche di autorizzazione
Questo tutorial ti guida attraverso i passaggi per creare politiche di autorizzazione in IAM per un registro Amazon QLDB in modalità autorizzazioni. `STANDARD` Puoi quindi assegnare le autorizzazioni ai tuoi utenti, gruppi o ruoli.
Per altri esempi di documenti relativi alle policy IAM che concedono autorizzazioni ai comandi PartiQL e alle risorse delle tabelle, consulta. [Esempi di policy basate sull'identità per Amazon QLDB](security_iam_id-based-policy-examples.md)
**Topics**
+ [Prerequisiti](#getting-started-standard-mode-prereqs)
+ [Creazione di una policy di sola lettura](#getting-started-standard-mode-read-only)
+ [Creazione di una politica di accesso completo](#getting-started-standard-mode-full-access)
+ [Creazione di una politica di sola lettura per una tabella specifica](#getting-started-standard-mode-read-only-table)
+ [Assegnare le autorizzazioni](#getting-started-standard-mode-assign-permissions)
### Prerequisiti
Prima di iniziare, assicurati di fare quanto segue:
1. Segui le istruzioni di AWS configurazione riportate in[Accesso ad Amazon QLDB](accessing.md), se non l'hai già fatto. Questi passaggi includono la registrazione AWS e la creazione di un utente amministrativo.
1. Crea un nuovo libro mastro e scegli la modalità di `STANDARD` autorizzazione per il libro mastro. Per ulteriori informazioni, consulta la sezione [Fase 1: Creare un nuovo libro contabile](getting-started-step-1.md) *Guida introduttiva alla console oppure*. [Operazioni di base per i registri Amazon QLDB](ledger-management.basics.md)
### Creazione di una policy di sola lettura
Per utilizzare l'editor di policy JSON per creare una policy di sola lettura per *tutte le tabelle* di un registro nella modalità di autorizzazione standard, procedi come segue:
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Nel riquadro di navigazione a sinistra, seleziona **Policies (Policy)**.
Se è la prima volta che selezioni **Policy**, verrà visualizzata la pagina **Benvenuto nelle policy gestite**. Seleziona **Inizia**.
1. Nella parte superiore della pagina, scegli **Crea policy**.
1. Scegli la scheda **JSON**.
1. Copia e incolla il seguente documento di policy JSON. Questo criterio di esempio concede l'accesso in *sola lettura* a tutte le tabelle di un libro mastro.
Per utilizzare questo criterio, sostituisci e *us-east-1**123456789012*, *myExampleLedger* nell'esempio, con le tue informazioni.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "QLDBSendCommandPermission",
"Effect": "Allow",
"Action": "qldb:SendCommand",
"Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger"
},
{
"Sid": "QLDBPartiQLReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"qldb:PartiQLSelect",
"qldb:PartiQLHistoryFunction"
],
"Resource": [
"arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/*",
"arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/information_schema/user_tables"
]
}
]
}
```
1. Scegli **Verifica policy**.
**Nota**
È possibile passare tra le schede **Visual editor (Editor visivo)** e **JSON** in qualsiasi momento. Se tuttavia si apportano modifiche o se si seleziona **Review policy (Rivedi policy)** nella scheda **Visual editor (Editor visivo)**, IAM potrebbe modificare la policy per ottimizzarla per l'editor visivo. Per ulteriori informazioni, consulta [Modifica della struttura delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) nella *Guida per l'utente di IAM*.
1. Nella pagina **Review policy (Rivedi policy)**, inserisci i valori per **Name (Nome)** e **Description (Descrizione)** (facoltativa) per la policy che stai creando. Consulta il **Summary** (Riepilogo) della policy per visualizzare le autorizzazioni concesse dalla policy. Seleziona **Create policy** (Crea policy) per salvare il proprio lavoro.
### Creazione di una politica di accesso completo
Per creare una politica di accesso completo per tutte le tabelle in un registro QLDB nella modalità di autorizzazione standard, procedi come segue:
+ Ripetere i [passaggi precedenti](#getting-started-standard-mode-read-only) utilizzando il seguente documento di policy. Questo criterio di esempio consente l'accesso a *tutti i comandi PartiQL* *per tutte le* tabelle in un registro, utilizzando caratteri jolly (\$1) per coprire tutte le azioni PartiQL e tutte le risorse in un registro.
**avvertimento**
Questo è un esempio di utilizzo di un carattere jolly (\$1) per consentire tutte le azioni PartiQL, incluse le operazioni amministrative read/write e le operazioni su tutte le tabelle in un registro QLDB. È invece consigliabile specificare esplicitamente ogni azione da concedere e solo ciò di cui l'utente, il ruolo o il gruppo ha bisogno.
Per utilizzare questa politica, sostituisci e *us-east-1**123456789012*, *myExampleLedger* nell'esempio, con le tue informazioni.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "QLDBSendCommandPermission",
"Effect": "Allow",
"Action": "qldb:SendCommand",
"Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger"
},
{
"Sid": "QLDBPartiQLFullPermissions",
"Effect": "Allow",
"Action": [
"qldb:PartiQL*"
],
"Resource": [
"arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/*",
"arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/information_schema/user_tables"
]
}
]
}
```
### Creazione di una politica di sola lettura per una tabella specifica
Per creare una politica di accesso di sola lettura per una tabella specifica in un registro QLDB nella modalità di autorizzazione standard, procedi come segue:
1. Trova l'ARN per la tabella utilizzando Console di gestione AWS o interrogando la tabella del catalogo di sistema. `information_schema.user_tables` Per istruzioni, consultare [Trovare un ID di tabella e un ARN](#security_iam_partiql-ref.table-arn).
1. Utilizza la tabella ARN per creare una policy che consenta l'accesso in sola lettura alla tabella. Per fare ciò, ripeti i [passaggi precedenti](#getting-started-standard-mode-read-only) utilizzando il seguente documento di policy.
Questo criterio di esempio concede l'accesso in *sola lettura solo* alla tabella *specificata*. In questo esempio, l'ID della tabella è. `Au1EiThbt8s0z9wM26REZN` Per utilizzare questo criterio*us-east-1*, sostituisci *123456789012**myExampleLedger*,, e *Au1EiThbt8s0z9wM26REZN* nell'esempio con le tue informazioni.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "QLDBSendCommandPermission",
"Effect": "Allow",
"Action": "qldb:SendCommand",
"Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger"
},
{
"Sid": "QLDBPartiQLReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"qldb:PartiQLSelect",
"qldb:PartiQLHistoryFunction"
],
"Resource": [
"arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/Au1EiThbt8s0z9wM26REZN"
]
}
]
}
```
### Assegnare le autorizzazioni
Dopo aver creato una politica di autorizzazioni QLDB, assegna le autorizzazioni come segue.
Per fornire l'accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
+ Utenti e gruppi in: AWS IAM Identity Center
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtocreatepermissionset.html) (Creazione di un set di autorizzazioni) nella *Guida per l'utente di AWS IAM Identity Center *.
+ Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) della *Guida per l'utente IAM*.
+ Utenti IAM:
+ Crea un ruolo che l'utente possa assumere. Segui le istruzioni riportate nella pagina [Create a role for an IAM user](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) della *Guida per l'utente IAM*.
+ (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina [Aggiunta di autorizzazioni a un utente (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l'utente IAM*.