Vom IAM-Kunden verwaltete Richtlinien fürAWS DataSync - AWS DataSync
Übersicht über benutzerdefinierte RichtlinienBeispiele für benutzerdefinierte Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Vom IAM-Kunden verwaltete Richtlinien fürAWS DataSync

Zusätzlich zu denAWS verwalteten Richtlinien können Sie auch Ihre eigenen identitätsbasierten Richtlinien fürAWS DataSync API-Operationen erstellen und diese an dieAWS Identity and Access Management (IAM-) Identitäten anhängen, für die diese Berechtigungen erforderlich sind. Diese werden als vom Kunden verwaltete Richtlinien. Dabei handelt es sich um eigenständige Richtlinien, die Sie in Ihrem eigenen verwaltenAWS-Konto.

Wichtig

Bevor Sie beginnen, empfehlen wir Ihnen, sich mit den grundlegenden Konzepten und Optionen für die Verwaltung des Zugriffs auf IhreDataSync Ressourcen vertraut. Weitere Informationen finden Sie unter Zugriffsmanagement fürAWS DataSync.

Übersicht über benutzerdefinierte Richtlinien

Das folgende Beispiel ist eine Richtlinie, die Berechtigungen zur Verwendung bestimmterDataSync Operationen gewährt.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowsSpecifiedActionsOnAllTasks",
            "Effect": "Allow",
            "Action": [
                "datasync:DescribeTask",
                "datasync:ListTasks"
            ],
            "Resource": "arn:aws:datasync:us-east-2:111222333444:task/*"
        },    
}

Die Richtlinie enthält eine Aussage (beachten Sie dieResource ElementeAction und in der Erklärung), die Folgendes bewirkt:

  • Erteilt die Berechtigung, zweiDataSync Aktionen (datasync:DescribeTaskunddatasync:ListTasks) für bestimmte Aufgabenressourcen unter Verwendung eines Amazon-Ressourcennamens (ARN) auszuführen.

  • Gibt ein Platzhalterzeichen (*) im Task-ARN an, da die IAM-Rolle die beiden Aktionen für alle Aufgaben ausführen darf. Um die Berechtigungen für die Aktionen auf eine bestimmte Aufgabe zu beschränken, geben Sie in dieser Anweisung die Aufgaben-ID anstelle des Platzhalterzeichens an.

Beispiele für benutzerdefinierte Richtlinien

Die folgenden Beispiel-Benutzerrichtlinien gewähren Berechtigungen für verschiedeneDataSync Operationen. Die Richtlinien funktionieren, wenn Sie dieAWS SDKs oderAWS Command Line Interface (AWS CLI) verwenden. Um diese Richtlinien in der Konsole zu verwenden, müssen Sie auch die verwaltete Richtlinie verwendenAWSDataSyncFullAccess.

Beispiel 1: Erstellen Sie eine Vertrauensbeziehung, die IhnenDataSync den Zugriff auf Ihren Amazon S3 S3-Bucket ermöglicht

Unten sehen Sie ein Beispiel für eine Vertrauensrichtlinie, mit der Sie DataSync das Übernehmen einer IAM-Rolle gestatten. Diese Rolle ermöglichtDataSync den Zugriff auf einen Amazon S3 S3-Bucket. Um das Problem zu vermeiden, dass mehrere Dienststellen verwirrt sind, empfehlen wir, in der Richtlinie die Kontextschlüssel aws:SourceArnund die aws:SourceAccountglobalen Kontext-Schlüssel für Bedingungen zu verwenden.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "datasync.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*"
                }
            }
        }
    ]
}

Beispiel 2: Erlauben SieDataSync, in Ihren Amazon S3 S3-Bucket zu lesen und zu schreiben

Die folgende Beispielrichtlinie gewährtDataSync die Mindestberechtigungen zum Lesen und Schreiben von Daten in Ihren S3-Bucket.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads"
            ],
            "Effect": "Allow",
            "Resource": "YourS3BucketArn"
        },
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:ListMultipartUploadParts",
                "s3:GetObjectTagging",
                "s3:PutObjectTagging",
                "s3:PutObject"
              ],
            "Effect": "Allow",
            "Resource": "YourS3BucketArn/*"
        }
    ]
}

Beispiel 3: ErlaubeDataSync das Hochladen von Protokollen inCloudWatch Protokollgruppen

DataSyncbenötigt Berechtigungen, um Protokolle in IhreCloudWatch Amazon-Protokollgruppen hochladen zu können. Sie könnenCloudWatch Protokollgruppen verwenden, um Ihre Aufgaben zu überwachen und zu debuggen.

Ein Beispiel für eine IAM-Richtlinie, die solche Berechtigungen gewährt, finden Sie unterDataSyncErlaubt das Hochladen von Protokollen inCloudWatch Protokollgruppen.