

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Controlla l'accesso al blocco degli snapshot di Amazon EBS
<a name="snapshot-lock-iam"></a>

Per impostazione predefinita, gli utenti non dispongono dell'autorizzazione per utilizzare i blocchi degli snapshot. Per permettere agli utenti di utilizzare i blocchi degli snapshot, è necessario creare delle policy IAM che concedano l'autorizzazione per l'uso di risorse e operazioni API specifiche. Per ulteriori informazioni, consulta [Creazione di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella Guida per l'utente IAM.

**Topics**
+ [Autorizzazioni richieste](#snapshot-lock-req-perms)
+ [Limitazione dell'accesso con le chiavi di condizione](#snapshot-lock-condition-keys)

## Autorizzazioni richieste
<a name="snapshot-lock-req-perms"></a>

Per utilizzare i blocchi degli snapshot, gli utenti devono disporre delle seguenti autorizzazioni.
+ `ec2:LockSnapshot`: per bloccare gli snapshot.
+ `ec2:UnlockSnapshot`: per sbloccare gli snapshot.
+ `ec2:DescribeLockedSnapshots`: per visualizzare le impostazioni di blocco degli snapshot.

Di seguito è riportato un esempio di policy IAM che consente agli utenti di bloccare e sbloccare gli snapshot e di visualizzare le impostazioni di blocco degli snapshot. Include l'autorizzazione `ec2:DescribeSnapshots` per gli utenti della console. Se qualche autorizzazione non è necessaria, puoi rimuoverla dalla policy.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowSnapshotLockOperations",
      "Effect": "Allow",
      "Action": [
        "ec2:LockSnapshot",
        "ec2:UnlockSnapshot",
        "ec2:DescribeLockedSnapshots",
        "ec2:DescribeSnapshots"
      ],
      "Resource": [
        "arn:aws:ec2:*::snapshot/*",
        "arn:aws:ec2:*:{{111122223333}}:volume/*"
      ]
    }
  ]
}
```

------

Per fornire l’accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
+ Utenti e gruppi in: AWS IAM Identity Center

  Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) (Creazione di un set di autorizzazioni) nella *Guida per l’utente di AWS IAM Identity Center *.
+ Utenti gestiti in IAM tramite un provider di identità:

  Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) della *Guida per l’utente IAM*.
+ Utenti IAM:
  + Crea un ruolo che l’utente possa assumere. Segui le istruzioni riportate nella pagina [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) della *Guida per l’utente IAM*.
  + (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina [Aggiunta di autorizzazioni a un utente (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.

## Limitazione dell'accesso con le chiavi di condizione
<a name="snapshot-lock-condition-keys"></a>

È possibile utilizzare chiavi di condizione per limitare il modo in cui gli utenti possono bloccare gli snapshot.

**Topics**
+ [ec2: SnapshotLockDuration](#snapshotlockduration)
+ [ec2: CoolOffPeriod](#cooloffperiod)

### ec2: SnapshotLockDuration
<a name="snapshotlockduration"></a>

È possibile utilizzare la chiave di condizione `ec2:SnapshotLockDuration` per limitare gli utenti a durate di blocco specifiche quando si bloccano gli snapshot.

La seguente policy di esempio limita gli utenti a specificare una durata di blocco compresa tra `10` e `50` giorni.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowSnapshotLockWithDurationCondition",
      "Effect": "Allow",
      "Action": "ec2:LockSnapshot",
      "Resource": "arn:aws:ec2:*::snapshot/*",
      "Condition": {
        "NumericGreaterThan": {
          "ec2:SnapshotLockDuration": 10
        },
        "NumericLessThan": {
          "ec2:SnapshotLockDuration": 50
        }
      }
    }
  ]
}
```

------

### ec2: CoolOffPeriod
<a name="cooloffperiod"></a>

È possibile utilizzare la chiave di condizione `ec2:CoolOffPeriod` per impedire agli utenti di bloccare gli snapshot in modalità di conformità senza un periodo di raffreddamento.

La seguente policy di esempio limita gli utenti a specificare un periodo di raffreddamento superiore a `48` ore quando bloccano gli snapshot in modalità di conformità.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowSnapshotLockWithCondition",
      "Effect": "Allow",
      "Action": "ec2:LockSnapshot",
      "Resource": "arn:aws:ec2:*::snapshot/*",
      "Condition": {
        "NumericGreaterThan": {
          "ec2:SnapshotTime": 48
        }
      }
    }
  ]
}
```

------