Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Esaminare le autorizzazioni IAM necessarie per l'utente AWS Glue Studio
<a name="getting-started-min-privs"></a>

Per utilizzareAWS Glue Studio, l'utente deve avere accesso a varie AWS risorse. L'utente deve essere in grado di visualizzare e selezionare i bucket Amazon S3, le policy e i ruoli IAM e gli oggetti AWS Glue Data Catalog.

## Autorizzazioni di servizio AWS Glue
<a name="getting-started-min-privs-glue"></a>

AWS Glue Studio utilizza le operazioni e le risorse del servizio AWS Glue. Per utilizzare in modo efficace AWS Glue Studio, l'utente ha bisogno delle autorizzazioni per tali operazioni e risorse. È possibile concedere all'utente di AWS Glue Studio la policy gestita da `AWSGlueConsoleFullAccess` oppure creare una policy personalizzata con un set di autorizzazioni più piccolo.

**Importante**  
In base alle best practice di sicurezza, si consiglia di limitare l'accesso rafforzando le policy per limitare ulteriormente l'accesso al bucket Amazon S3 e ai gruppi di log Amazon CloudWatch . Per un esempio di policy Amazon S3, consulta la pagina relativa alla [scrittura di policy IAM per concedere l'accesso a un bucket Amazon S3](https://aws.amazon.com/blogs/security/writing-iam-policies-how-to-grant-access-to-an-amazon-s3-bucket/). 

## Creazione di criteri IAM personalizzati per AWS Glue Studio
<a name="getting-started-all-gs-privs"></a>

È possibile creare una policy personalizzata con un set di autorizzazioni più piccolo per AWS Glue Studio. La policy può concedere autorizzazioni per un sottoinsieme di oggetti o operazioni. Durante la creazione di una policy personalizzata, utilizza le seguenti informazioni. 

 Per utilizzare il AWS Glue Studio APIs, includi `glue:UseGlueStudio` nella policy d'azione le tue autorizzazioni IAM. L'utilizzo di `glue:UseGlueStudio` ti permetterà di accedere a tutte le operazioni di AWS Glue Studio anche quando più operazioni vengono aggiunte all'API nel tempo. 

 Per ulteriori informazioni sulle azioni definite da AWS Glue, consulta [Azioni definite da AWS Glue](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsglue.html). 

 **Azioni di creazione e preparazione dei dati** 
+ SendRecipeAction
+ GetRecipeAction

 **Operazioni del grafo aciclico orientato (DAG)** 
+ CreateDag
+ UpdateDag
+ GetDag
+ DeleteDag

 **Operazioni di processo** 
+ SaveJob
+ GetJob
+ CreateJob
+ DeleteJob
+ GetJobs
+ UpdateJob

 **Opzione di esecuzione del processo** 
+ StartJobRun
+ GetJobRuns
+ BatchStopJobRun
+ GetJobRun
+ QueryJobRuns
+ QueryJobs
+ QueryJobRunsAggregated

 **Operazioni dello schema** 
+ GetSchema
+ GetInferredSchema

 **Operazioni del database** 
+ GetDatabases

 **Operazioni del piano** 
+ GetPlan

 **Operazioni della tabella** 
+ SearchTables
+ GetTables
+ GetTable

 **Operazioni di connessione** 
+ CreateConnection
+ DeleteConnection
+ UpdateConnection
+ GetConnections
+ GetConnection

 **Operazioni di mappatura** 
+ GetMapping

 **Operazioni proxy S3**
+ ListBuckets
+ ListObjectsV2
+ GetBucketLocation

**Operazioni di configurazione di sicurezza**
+ GetSecurityConfigurations 

**Operazioni di script**
+ CreateScript (diverso dall'API con lo stesso nome inAWS Glue)

## Accesso a AWS Glue Studio APIs
<a name="getting-started-glue-studio-apis"></a>

 Per accedere a AWS Glue Studio, aggiungi `glue:UseGlueStudio` nell'elenco delle policy delle operazioni nelle autorizzazioni IAM. 

 Nell'esempio seguente, `glue:UseGlueStudio` è inclusa nella politica d'azione, ma non è identificata individualmente. AWS Glue Studio APIs Questo perché quando lo includi`glue:UseGlueStudio`, ti viene automaticamente concesso l'accesso all'area interna APIs senza dover specificare l'individuo AWS Glue Studio APIs nelle autorizzazioni IAM. 

 Nell'esempio, le politiche d'azione aggiuntive elencate (ad esempio,`glue:SearchTables`) non lo sono AWS Glue Studio APIs, quindi dovranno essere incluse nelle autorizzazioni IAM come richiesto. Potresti inoltre includere operazioni Amazon S3 Proxy per specificare il livello di accesso Amazon S3 da concedere. La policy di esempio riportata di seguito fornisce l'accesso a openAWS Glue Studio, la creazione di un job visivo e, save/run se il ruolo IAM selezionato dispone di un accesso sufficiente. 

## Autorizzazioni per notebook e anteprima dati
<a name="getting-started-data-preview-perms"></a>

Le anteprime dei dati e i notebook consentono di visualizzare un campione dei dati in qualsiasi fase del processo (lettura, trasformazione, scrittura), senza doverlo eseguire. È necessario specificare un ruolo AWS Identity and Access Management (IAM) AWS Glue Studio da utilizzare per l'accesso ai dati. I ruoli IAM sono destinati ad essere prevedibili e non hanno credenziali standard a lungo termine come una password o chiavi d'accesso associate ad esso. Invece, quando AWS Glue Studio assume il ruolo, IAM fornisce credenziali di sicurezza temporanee. 

Per garantire che le anteprime dei dati e i comandi del notebook funzionino correttamente, usa un ruolo con un nome che inizia con la stringa `AWSGlueServiceRole`. Se decidi di usare un altro nome per il ruolo, dovrai aggiungere l'autorizzazione `iam:passrole` e configurare una policy per il ruolo in IAM. Per ulteriori informazioni, consulta [Crea una policy IAM per i ruoli non denominati "AWSGlueServiceRole\$1»](getting-started-iam-permissions.md#create-iam-policy).

**avvertimento**  
Se un ruolo concede l'autorizzazione `iam:passrole` per un notebook e tu implementi il concatenamento dei ruoli, un utente potrebbe ottenere involontariamente l'accesso al notebook. Al momento non è implementato alcun controllo che permetta di monitorare a quali utenti sia stato concesso l'accesso al notebook.

Se desideri negare a un'identità IAM la possibilità di creare sessioni di anteprima dei dati, consulta l'esempio di [Negare a un'identità la possibilità di creare sessioni di anteprima dei dati](security_iam_id-based-policy-examples.md#deny-data-preview-sessions-per-identity) seguente.

## Amazon CloudWatch autorizzazioni
<a name="getting-started-min-privs-cloudwatch"></a>

Puoi monitorare i tuoi AWS Glue Studio lavori utilizzando Amazon CloudWatch, che raccoglie ed elabora i dati grezzi AWS Glue trasformandoli in metriche leggibili. near-real-time Per impostazione predefinita, i dati AWS Glue delle metriche vengono inviati automaticamente a. CloudWatch Per ulteriori informazioni, consulta [What Is Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) nella *Amazon CloudWatch User Guide* e [AWS GlueMetrics](https://docs.aws.amazon.com/glue/latest/dg/monitoring-awsglue-with-cloudwatch-metrics.html#awsglue-metrics) nella *AWS Glue Developer Guide*. 

Per accedere alle CloudWatch dashboard, l'utente che accede AWS Glue Studio deve disporre di uno dei seguenti elementi:
+ La policy `AdministratorAccess`
+ La policy `CloudWatchFullAccess`
+ Una policy personalizzata che includa una o più di queste autorizzazioni specifiche:
  + `cloudwatch:GetDashboard` e `cloudwatch:ListDashboards` per visualizzare i pannelli di controllo
  + `cloudwatch:PutDashboard` per creare o modificare i pannelli di controllo
  + `cloudwatch:DeleteDashboards` per eliminare i pannelli di controllo

Per ulteriori informazioni sulla modifica delle autorizzazioni per un utente IAM utilizzando le policy, consulta [Modifica delle autorizzazioni per un utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) nella *Guida per l'utente IAM*.