Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Fase 2: creazione di un ruolo IAM che conceda l'accesso alla creazione di argomenti nel cluster Amazon MSK In questo passaggio, eseguirai due attività. La prima attività consiste nel creare una policy IAM che consenta l'accesso alla creazione di argomenti nel cluster e all'invio di dati a tali argomenti. La seconda attività consiste nel creare un ruolo IAM e associarvi questa policy. In un passaggio successivo, si crea un computer client che assume questo ruolo e lo utilizza per creare un argomento nel cluster e per inviare dati a quell'argomento. **Creazione di una policy IAM che consenta di creare argomenti e scrivere su di essi**Creazione di una policy IAM 1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Nel riquadro di navigazione, seleziona **Policy**. 1. Scegli **Crea policy**. 1. In **Policy editor**, scegli **JSON**, quindi sostituisci il JSON nella finestra dell'editor con il seguente JSON. Nell'esempio seguente, sostituisci quanto segue: + *region*con il codice del Regione AWS luogo in cui hai creato il cluster. + Esempio di ID dell'account*123456789012*, con il tuo Account AWS ID. + *MSKTutorialCluster*e*MSKTutorialCluster*/*7d7131e1-25c5-4e9a-9ac5-ea85bee4da11-14*, con il nome del cluster e il relativo ID. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka-cluster:Connect", "kafka-cluster:AlterCluster", "kafka-cluster:DescribeCluster" ], "Resource": [ "arn:aws:kafka:us-east-1:123456789012:cluster/MSKTutorialCluster/7d7131e1-25c5-4e9a-9ac5-ea85bee4da11-14" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:*Topic*", "kafka-cluster:WriteData", "kafka-cluster:ReadData" ], "Resource": [ "arn:aws:kafka:us-east-1:123456789012:topic/MSKTutorialCluster/*" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:AlterGroup", "kafka-cluster:DescribeGroup" ], "Resource": [ "arn:aws:kafka:us-east-1:123456789012:group/MSKTutorialCluster/*" ] } ] } ``` ------ Per istruzioni su come scrivere policy sicure, vedi[Controllo degli accessi IAM](iam-access-control.md). 1. Scegli **Next (Successivo)**. 1. Nella pagina **Rivedi e crea**, effettua le operazioni seguenti: 1. Per **Nome della politica**, inserisci un nome descrittivo, ad esempio**msk-tutorial-policy**. 1. In **Autorizzazioni definite in questa politica**, rivedi e and/or modifica le autorizzazioni definite nella tua politica. 1. (Facoltativo) Per facilitare l'identificazione, l'organizzazione o la ricerca della politica, scegli **Aggiungi nuovo tag per aggiungere tag** come coppie chiave-valore. Ad esempio, aggiungi un tag alla tua politica con la coppia chiave-valore e. **Environment** **Test** Per ulteriori informazioni sull'utilizzo dei tag, consulta [Tags for AWS Identity and Access Management resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) nella *IAM User Guide*. 1. Scegli **Crea policy**. **Creazione di un ruolo IAM e collegamento della policy al ruolo** 1. Nel riquadro di navigazione, scegli **Ruoli**, quindi scegli **Crea ruolo**. 1. Nella pagina **Seleziona un’entità attendibile**, esegui le operazioni seguenti: 1. Per **Tipo di entità attendibile**, seleziona **Servizio AWS**. 1. Per **Servizio o caso d'uso**, scegli **EC2**. 1. Per **Caso d’uso**, seleziona **EC2**. 1. Scegli **Next (Successivo)**. 1. Nella pagina **Add permissions** (Aggiungi autorizzazioni), esegui le operazioni seguenti: 1. Nella casella di ricerca sotto **Politiche di autorizzazione**, inserisci il nome della politica che hai creato in precedenza per questo tutorial. Quindi, scegli la casella a sinistra del nome della politica. 1. (Facoltativo) Impostare un [limite delle autorizzazioni](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Questa è una funzionalità avanzata disponibile per i ruoli di servizio, ma non per i ruoli collegati ai servizi. Per informazioni sull'impostazione di un limite di autorizzazioni, consulta [Creating roles and attaching policies (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions_create-policies.html) nella *IAM* User Guide. 1. Scegli **Next (Successivo)**. 1. Nella pagina **Name, review, and create** (Assegna un nome, rivedi e crea), esegui le operazioni seguenti: 1. Per il **nome del ruolo**, inserisci un nome descrittivo, ad esempio. **msk-tutorial-role** **Importante** Quando assegni un nome a un ruolo, tieni presente quanto segue: I nomi dei ruoli devono essere univoci all'interno del tuo Account AWS account e non possono essere resi unici per caso. Ad esempio, non creare ruoli denominati **PRODROLE** e **prodrole**. Quando il nome di un ruolo viene utilizzato in una policy o come parte di un ARN, il nome del ruolo fa distinzione tra maiuscole e minuscole, tuttavia quando un nome di ruolo viene visualizzato ai clienti nella console, ad esempio durante il processo di accesso, il nome del ruolo non fa distinzione tra maiuscole e minuscole. Non è possibile modificare il nome del ruolo dopo averlo creato, in quanto altre entità possono fare riferimento al ruolo. 1. (Facoltativo) In **Descrizione**, inserisci una descrizione per il ruolo. 1. **(Facoltativo) Per modificare i casi d'uso e le autorizzazioni per il ruolo, nel **Passaggio 1: Seleziona le entità attendibili** o nel **Passaggio 2: Aggiungi le sezioni relative alle autorizzazioni**, scegli Modifica.** 1. (Facoltativo) Per facilitare l'identificazione, l'organizzazione o la ricerca del ruolo, scegli **Aggiungi nuovo tag per aggiungere tag** come coppie chiave-valore. Ad esempio, aggiungi un tag al tuo ruolo con la coppia chiave-valore e. **ProductManager** **John** Per ulteriori informazioni sull'utilizzo dei tag, consulta [Tags for AWS Identity and Access Management resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) nella *IAM User Guide*. 1. Verificare il ruolo e quindi scegliere **Create role (Crea ruolo)**. **Fase successiva** [Passaggio 3: creazione di un computer client](create-client-machine.md)