Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Zugriffsmanagement fürAWS DataSync
JedeAWS Ressource gehört einemAWS-Konto. Die Berechtigungen zum Erstellen einer Ressource oder für den Zugriff darauf werden durch Berechtigungsrichtlinien geregelt. Ein Kontoadministrator kann Berechtigungsrichtlinien anAWS Identity and Access Management (IAM) -Identitäten anhängen. Einige Services (wie z. B. AWS Lambda) unterstützen auch das Zuordnen von Berechtigungsrichtlinien zu Ressourcen.
Anmerkung
Ein Kontoadministrator ist ein Benutzer mit Administratorrechten in einemAWS-Konto. Weitere Informationen finden Sie unter Bewährte Methoden für IAM im IAM-Benutzerhandbuch.
Themen
DataSync-Ressourcen und -Operationen
DataSyncIn sind die primären Ressourcen Agent, Standort, Aufgabe und Aufgabenausführung.
Diesen Ressourcen sind einzigartige Amazon-Ressourcennamen (ARN) zugeordnet, siehe nachfolgende Tabelle.
Ressourcentyp | ARN-Format |
---|---|
ARN des Kundendienstmitarbeiters |
|
Speicherort-ARN |
|
Aufgaben-ARN |
|
ARN |
|
Zur Erteilung von Berechtigungen für bestimmte API-Operationen, z. B. das Erstellen von Aufgaben,DataSync die Sie in einer Berechtigungsrichtlinie angeben, die Sie in einer Berechtigungsrichtlinie angeben. Für eine API-Operation können Berechtigungen für mehrere Aktionen erforderlich sein. Eine Liste allerDataSync API-Aktionen und der Ressourcen, für die sie gelten, finden Sie unterDataSyncAPI-Berechtigungen: Aktionen und Ressourcen.
Grundlegendes zum Eigentum an Ressourcen
Ein Ressourcenbesitzer ist der RessourcenbesitzerAWS-Konto, der die Ressource erstellt hat. Genauer gesagt ist der RessourceneigentümerAWS-Konto der Prinzipal-Entität (z. B. eine IAM-Rolle), die die Anforderung, die die die Ressource erstellt. Die Funktionsweise wird anhand der Funktionsweise:
-
Wenn Sie die Stammkonto-Anmeldeinformationen von Ihrem verwenden,AWS-Konto um eine Aufgabe zu erstellen,AWS-Konto ist Ihr der Eigentümer der Ressource (inDataSync, die Ressource ist die Aufgabe).
-
Wenn Sie eine IAM-Rolle in Ihrem erstellenAWS-Konto und diesem Berechtigungen für
CreateTask
die Sie erteilen, kann dieser Benutzer eine Aufgabe erstellen. Eigentümer der Aufgabenressource ist jedoch das -IhrAWS-Konto, dem der Benutzer angehört. -
Wenn Sie in Ihrem eine IAM-RolleAWS-Konto mit Berechtigungen zum Erstellen von Aufgaben einrichten, kann jeder, der die Rolle übernimmt. Eigentümer der Aufgabenressource ist immer das -Aufgabenressource.AWS-Konto
Verwalten des Zugriffs auf Ressourcen
Eine Berechtigungsrichtlinie beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.
Anmerkung
Dieser Abschnitt behandelt die Verwendung von IAM um Zusammenhang mit DataSync. Er enthält keine detaillierten Informationen über den IAM-Service. Eine umfassende IAM-Dokumentation finden Sie unter Was ist IAM? im IAM-Benutzerhandbuch. Informationen über die Syntax und Beschreibungen von IAM-Richtlinien finden Sie in der AWS Identity and Access ManagementRichtlinienreferenz im IAM Benutzerhandbuch.
Richtlinien, die einer IAM-Identität zugeordnet sind, werden als identitätsbasierte Richtlinien (IAM-Richtlinien) bezeichnet, während Richtlinien, die einer Ressource zugeordnet sind, ressourcenbasierte Richtlinien genannt werden. DataSync unterstützt nur identitätsbasierte Richtlinien (IAM-Richtlinien).
Identitätsbasierte Richtlinien
Sie können denDataSync Ressourcenzugriff mit IAM-Richtlinien verwalten. Diese Richtlinien können einemAWS-Konto Administrator dabei helfen, Folgendes zu tunDataSync:
-
Berechtigungen zum Erstellen und Verwalten vonDataSync Ressourcen gewähren — Erstellen Sie eine IAM-Richtlinie, die es einer IAM-Rolle in Ihrem Unternehmen ermöglicht,DataSync Ressourcen wie Agenten, Standorte und AufgabenAWS-Konto zu erstellen und zu verwalten.
-
Einer Rolle in einem anderenAWS-Konto oder einem Berechtigungen gewährenAWS-Service — Erstellen Sie eine IAM-Richtlinie, die Berechtigungen für eine IAM-Rolle in einer anderenAWS-Konto oder einer gewährtAWS-Service. Beispiel:
-
Der Administrator von Konto A erstellt eine IAM-Rolle und fügt ihr eine Berechtigungsrichtlinie an, die Berechtigungen für Ressourcen in Konto B erteilt.
-
Der Administrator von Konto B weist der Rolle eine Vertrauensrichtlinie an, die Konto B als Prinzipal angibt, der die Rolle übernehmen kann.
Um einem dieAWS-Service Rechte zur Übernahme der Rolle zu gewähren, kann der Konto-A-Administrator in der Vertrauensrichtlinie einenAWS-Service als Principal angeben.
-
Der Administrator von Konto B kann nun Berechtigungen zur Übernahme der Rolle an alle Benutzer in Konto B delegieren. Daraufhin kann jeder, der die Rolle in Konto B verwendet. Daraufhin kann jeder, der die Rolle in Konto B verwendet. Daraufhin kann jeder, der die Rolle in Konto B verwendet. Daraufhin kann jeder, der die Rolle in Konto B verwendet. Daraufhin kann jeder,
Weitere Informationen zum Delegieren von Berechtigungen mithilfe von IAM finden Sie unter Zugriffsverwaltung im IAM-Benutzerhandbuch.
-
Die folgende Beispielrichtlinie erteilt Berechtigungen für alleList*
Aktionen und -Ressourcen. Diese Aktion ist schreibgeschützt und erlaubt keine Änderung von Ressourcen.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllListActionsOnAllResources", "Effect": "Allow", "Action": [ "datasync:List*" ], "Resource": "*" } ] }
Weitere Informationen zur Verwendung von identitätsbasierten Richtlinien mitDataSync finden Sie unter AWSverwaltete Richtlinien und vom Kunden verwaltete Richtlinien. Weitere Informationen zu IAM-Identitäten finden Sie im IAM Benutzerhandbuch.
Ressourcenbasierte Richtlinien
Andere Services, z. B. Amazon S3, unterstützen ressourcenbasierte Berechtigungsrichtlinien. Beispielsweise können Sie einem Amazon S3-Bucket eine Richtlinie zuweisen, um die Zugriffsberechtigungen für diesen Bucket zu verwalten. Unterstützt jedochDataSync keine ressourcenbasierten Richtlinien.
Angeben der Richtlinienelemente: Aktionen, Effekte, Ressourcen und Prinzipale
Für jede DataSync-Ressource (siehe DataSyncAPI-Berechtigungen: Aktionen und Ressourcen) definiert der Service eine Reihe von API-Operationen (siehe Aktionen). Zur Erteilung von Berechtigungen für diese API-Operationen definiert DataSync-Aktionen, die Sie in einer Richtlinie angeben können. Für die DataSync-Ressource beispielsweise sind die folgenden Aktionen definiert: CreateTask
, DeleteTask
und DescribeTask
. Für das Durchführen einer API-Operation können Berechtigungen für mehrere Aktionen erforderlich sein.
Grundlegende Richtlinienelemente:
-
Ressource – In einer Richtlinie wird der Amazon-Ressourcenname (ARN) zur Identifizierung der Ressource verwendet, für die die Richtlinie gilt. Für DataSync-Ressourcen können Sie das Platzhalterzeichen
(*)
in IAM-Richtlinien verwenden. Weitere Informationen finden Sie unter DataSync-Ressourcen und -Operationen. -
Aktion – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten. Beispiel: Abhängig vom angegebenen
Effect
Element erlaubt oder verweigert diedatasync:CreateTask
Berechtigung zum Ausführen derDataSyncCreateTask
Operation. -
Effekt — Sie geben den Effekt an, wenn der Benutzer die bestimmten Aktion anfordert. Dieser Effekt kann entweder
Allow
oder seinDeny
. Wenn Sie den Zugriff auf (Allow
) nicht ausdrücklich gestatten, wird der Zugriff automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. Damit können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn dem Benutzer der Zugriff durch eine andere Richtlinie gestattet wird. Weitere Informationen finden Sie unter Autorisierung im IAM-Benutzerhandbuch. -
Prinzipal – In identitätsbasierten Richtlinien (IAM-Richtlinien) ist der Benutzer, dem die Richtlinie zugewiesen ist, automatisch der Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll (gilt nur für ressourcenbasierte Richtlinien). DataSync unterstützt keine ressourcenbasierten Richtlinien.
Weitere Informationen zur Syntax und Beschreibungen von IAM-Richtlinien finden Sie in der AWS Identity and Access ManagementRichtlinienreferenz im IAM Benutzerhandbuch.
Eine Tabelle mit allen DataSync-API-Aktionen finden Sie unter DataSyncAPI-Berechtigungen: Aktionen und Ressourcen.
Angeben von Bedingungen in einer Richtlinie
Beim Erteilen von Berechtigungen können Sie mithilfe der IAM-Richtliniensyntax die Bedingungen angeben, unter denen die Richtlinie beim Erteilen von Berechtigungen wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zum Angeben von Bedingungen in der Sprache der Richtlinie finden Sie im Thema Bedingung im IAM Benutzerhandbuch.
Bedingungen werden mithilfe vordefinierter Bedingungsschlüssel formuliert. Für DataSync gibt es keine speziellen Bedingungsschlüssel. Stattdessen können Sie nach Bedarf dieAWS breiten Bedingungsschlüssel verwenden. Sie finden eine vollständige Liste derAWS verfügbaren Schlüssel im IAM Benutzerhandbuch.