Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Autorizzazioni di streaming in QLDB
<a name="streams.perms"></a>

**Importante**  
Avviso di fine del supporto: i clienti esistenti potranno utilizzare Amazon QLDB fino alla fine del supporto, il 31/07/2025. Per ulteriori dettagli, consulta [Migrare un registro Amazon QLDB su Amazon Aurora PostgreSQL](https://aws.amazon.com/blogs/database/migrate-an-amazon-qldb-ledger-to-amazon-aurora-postgresql/).

Prima di creare uno stream Amazon QLDB, devi fornire a QLDB le autorizzazioni di scrittura per la risorsa Amazon Kinesis Data Streams specificata. Se utilizzi un servizio gestito dal cliente AWS KMS key per la crittografia lato server del tuo flusso Kinesis, devi anche fornire a QLDB le autorizzazioni per utilizzare la chiave di crittografia simmetrica specificata. Kinesis Data Streams [non supporta](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html) le chiavi KMS asimmetriche.

Per fornire al tuo stream QLDB le autorizzazioni necessarie, puoi fare in modo che QLDB assuma un ruolo di servizio IAM con le politiche di autorizzazione appropriate. Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall'interno di IAM. Per ulteriori informazioni, consulta la sezione [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l'utente IAM*. 

**Nota**  
Per passare un ruolo a QLDB quando si richiede un flusso journal, è necessario disporre delle autorizzazioni per eseguire l'operazione `iam:PassRole` sulla risorsa del ruolo IAM. Ciò si aggiunge all'`qldb:StreamJournalToKinesis`autorizzazione sulla sottorisorsa del flusso QLDB.  
Per informazioni su come controllare l'accesso a QLDB utilizzando IAM, consulta. [Come funziona Amazon QLDB con IAM](security_iam_service-with-iam.md) Per un esempio di policy QLDB, vedere. [Esempi di policy basate sull'identità per Amazon QLDB](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-stream-to-kinesis)

In questo esempio, crei un ruolo che consente a QLDB di scrivere record di dati su un flusso di dati Kinesis per tuo conto. Per ulteriori informazioni, consulta la sezione [Creazione di un ruolo per delegare le autorizzazioni a un Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l'utente di IAM*.

Se stai trasmettendo in streaming un journal QLDB per Account AWS la prima volta, devi prima creare un ruolo IAM con le politiche appropriate procedendo come segue. In alternativa, puoi [utilizzare la console QLDB](streams.create.md#streams.create.con) per creare automaticamente il ruolo per te. Altrimenti, puoi scegliere un ruolo che hai creato in precedenza.

**Topics**
+ [Creazione di una policy di autorizzazione](#streams.perms.create-policy)
+ [Creazione di un ruolo IAM](#streams.perms.create-role)

## Creazione di una policy di autorizzazione
<a name="streams.perms.create-policy"></a>

Completa i seguenti passaggi per creare una politica di autorizzazioni per uno stream QLDB. Questo esempio mostra una policy di Kinesis Data Streams che concede le autorizzazioni QLDB per scrivere record di dati nel flusso di dati Kinesis specificato. Se applicabile, l'esempio mostra anche una politica chiave che consente a QLDB di utilizzare la chiave KMS di crittografia simmetrica.

*Per ulteriori informazioni sulle policy di Kinesis Data Streams[, consulta Controllo dell'accesso alle risorse di Amazon Kinesis Data Streams [tramite IAM e Permissions to use](https://docs.aws.amazon.com/streams/latest/dev/permissions-user-key-KMS.html) KMS key generate dall'utente nella Amazon Kinesis Data Streams](https://docs.aws.amazon.com/streams/latest/dev/controlling-access.html) Developer Guide.* [https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)

**Nota**  
Il flusso di dati Kinesis e la chiave KMS devono trovarsi entrambi nello stesso account del Regione AWS registro QLDB.

**Come utilizzare l'editor di policy JSON per creare una policy**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Nel riquadro di navigazione a sinistra, seleziona **Policies (Policy)**.

   Se è la prima volta che selezioni **Policy**, verrà visualizzata la pagina **Benvenuto nelle policy gestite**. Seleziona **Inizia**.

1. Nella parte superiore della pagina, scegli **Crea policy**.

1. Scegli la scheda **JSON**.

1. Specificare un documento della policy JSON.
   + Se utilizzi una chiave KMS gestita dal cliente per la crittografia lato server del tuo flusso Kinesis, usa il seguente documento di policy di esempio. Per utilizzare questa politica, sostituisci*us-east-1*, *123456789012**kinesis-stream-name*, e *1234abcd-12ab-34cd-56ef-1234567890ab* nell'esempio con le tue informazioni.

     ```
     {
         "Version": "2012-10-17",
         "Statement": [
             {
                 "Sid": "QLDBStreamKinesisPermissions",
                 "Action": [ "kinesis:PutRecord*", "kinesis:DescribeStream", "kinesis:ListShards" ],
                 "Effect": "Allow",
                 "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/kinesis-stream-name"
             },
             {
                 "Sid": "QLDBStreamKMSPermission",
                 "Action": [ "kms:GenerateDataKey" ],
                 "Effect": "Allow",
                 "Resource": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
             }
         ]
     }
     ```
   + Altrimenti, utilizzate il seguente documento di politica di esempio. Per utilizzare questa politica*us-east-1*, sostituisci e*123456789012*, *kinesis-stream-name* nell'esempio, con le tue informazioni.

     ```
     {
         "Version": "2012-10-17",
         "Statement": [
             {
                 "Sid": "QLDBStreamKinesisPermissions",
                 "Action": [ "kinesis:PutRecord*", "kinesis:DescribeStream", "kinesis:ListShards" ],
                 "Effect": "Allow",
                 "Resource": "arn:aws:kinesis:us-east-1:123456789012:stream/kinesis-stream-name"
             }
         ]
     }
     ```

1. Scegli **Verifica policy**.
**Nota**  
È possibile passare tra le schede **Visual editor (Editor visivo)** e **JSON** in qualsiasi momento. Se tuttavia si apportano modifiche o se si seleziona **Review policy (Rivedi policy)** nella scheda **Visual editor (Editor visivo)**, IAM potrebbe modificare la policy per ottimizzarla per l'editor visivo. Per ulteriori informazioni, consulta [Modifica della struttura delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) nella *Guida per l'utente di IAM*.

1. Nella pagina **Review policy (Rivedi policy)**, inserisci i valori per **Name (Nome)** e **Description (Descrizione)** (facoltativa) per la policy che stai creando. Consulta il **Summary** (Riepilogo) della policy per visualizzare le autorizzazioni concesse dalla policy. Seleziona **Create policy** (Crea policy) per salvare il proprio lavoro.

## Creazione di un ruolo IAM
<a name="streams.perms.create-role"></a>

Dopo aver creato una politica di autorizzazioni per il tuo stream QLDB, puoi quindi creare un ruolo IAM e allegare la tua policy ad esso.

**Per creare il ruolo di servizio per QLDB (console IAM)**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Nel pannello di navigazione della console IAM, scegliere **Ruoli** e quindi **Crea ruolo**.

1. Per **Trusted entity type** (Tipo di entità attendibile), scegli **Servizio AWS**.

1. Per **Servizio o caso d'uso**, scegli **QLDB**, quindi scegli lo use case **QLDB**.

1. Scegli **Next (Successivo)**.

1. Seleziona la casella accanto alla politica che hai creato nei passaggi precedenti.

1. (Facoltativo) Impostare un [limite delle autorizzazioni](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Questa è una caratteristica avanzata disponibile per i ruoli di servizio, ma non per i ruoli collegati ai servizi.

   1. Apri la sezione **Imposta limite delle autorizzazioni** e seleziona **Usa un limite delle autorizzazioni per controllare il numero massimo di autorizzazioni del ruolo**.

      IAM include un elenco delle politiche AWS gestite e gestite dal cliente nel tuo account.

   1. Selezionare la policy da utilizzare per il limite delle autorizzazioni.

1. Scegli **Next (Successivo)**.

1. Inserisci il nome del ruolo o il suffisso del nome del ruolo per aiutarti a identificare lo scopo del ruolo.
**Importante**  
Quando assegni un nome a un ruolo, tieni presente quanto segue:  
I nomi dei ruoli devono essere univoci all'interno del tuo Account AWS profilo e non possono essere resi unici per caso.  
Ad esempio, non creare ruoli denominati **PRODROLE** e **prodrole**. Quando il nome di un ruolo viene utilizzato in una policy o come parte di un ARN, il nome del ruolo fa distinzione tra maiuscole e minuscole, tuttavia quando un nome di ruolo viene visualizzato ai clienti nella console, ad esempio durante il processo di accesso, il nome del ruolo non fa distinzione tra maiuscole e minuscole.
Non è possibile modificare il nome del ruolo dopo averlo creato, in quanto altre entità possono fare riferimento al ruolo.

1. (Facoltativo) In **Descrizione**, inserisci una descrizione per il ruolo.

1. (Facoltativo) Per modificare i casi d'uso e le autorizzazioni per il ruolo, in **Fase 1: seleziona le entità attendibili** o **Fase 2: aggiungi autorizzazioni** seleziona **Modifica**.

1. (Facoltativo) Per facilitare l'identificazione, l'organizzazione o la ricerca del ruolo, aggiungi i tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo dei tag in IAM, consulta [Tags for AWS Identity and Access Management resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) nella *IAM User Guide*.

1. Verificare il ruolo e quindi scegliere **Create role (Crea ruolo)**.

Il seguente documento JSON è un esempio di policy di fiducia che consente a QLDB di assumere un ruolo IAM con autorizzazioni specifiche associate.

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "qldb.amazonaws.com"
            },
            "Action": [ "sts:AssumeRole" ],
            "Condition": {
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:qldb:us-east-1:123456789012:stream/myExampleLedger/*"
                },
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                }
            }
        }
    ]
}
```

**Nota**  
*Questo esempio di politica di fiducia mostra come utilizzare le chiavi di contesto `aws:SourceArn` e di contesto della condizione `aws:SourceAccount` globale per evitare il confuso problema del vicesceriffo.* Con questa politica di fiducia, QLDB può assumere il ruolo di qualsiasi flusso QLDB presente nell'account solo per il registro. `123456789012` `myExampleLedger`  
Per ulteriori informazioni, consulta [Prevenzione del problema "confused deputy" tra servizi](cross-service-confused-deputy-prevention.md).

Dopo aver creato il tuo ruolo IAM, torna alla console QLDB e aggiorna **la pagina dello stream Crea QLDB** in modo che possa trovare il tuo nuovo ruolo.