Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktionen, Ressourcen und Zustandsschlüssel für AWS Storage Gateway
AWS Storage Gateway (Servicepräfix: storagegateway) bietet die folgenden servicespezifischen Ressourcen, Aktionen und Bedingungskontextschlüssel zur Verwendung in IAM-Berechtigungsrichtlinien.
Referenzen:
-
Erfahren Sie, wie Sie diesen Service konfigurieren.
-
Zeigen Sie eine Liste der API-Operationen an, die für diesen Service verfügbar sind.
-
Erfahren Sie, wie Sie diesen Service und seine Ressourcen mithilfe von IAM-Berechtigungsrichtlinien schützen.
Themen
Von AWS Storage Gateway definierte Aktionen
Sie können die folgenden Aktionen im Element Action einer IAM-Richtlinienanweisung angeben. Verwenden Sie Richtlinien, um Berechtigungen zum Ausführen einer Operation in AWS zu erteilen. Wenn Sie eine Aktion in einer Richtlinie verwenden, erlauben oder verweigern Sie in der Regel den Zugriff auf die API-Operation oder den CLI-Befehl mit demselben Namen. Dabei kann es mitunter vorkommen, dass eine einzige Aktion den Zugriff auf mehr als eine Operation steuert. Alternativ erfordern einige Vorgänge mehrere verschiedene Aktionen.
Die Spalte Resource types (Ressourcentypen) der Aktionstabelle gibt an, ob die Aktion Berechtigungen auf Ressourcenebene unterstützt. Wenn es keinen Wert für diese Spalte gibt, müssen Sie alle Ressourcen ("*") im Element Resource Ihrer Richtlinienanweisung angeben. Wenn die Spalte einen Ressourcentyp enthält, können Sie einen ARN dieses Typs in einer Anweisung mit dieser Aktion angeben. Wenn für die Aktion eine oder mehrere Ressourcen erforderlich sind, muss der Aufrufer die Erlaubnis haben, die Aktion mit diesen Ressourcen zu verwenden. Erforderliche Ressourcen sind in der Tabelle mit einem Sternchen (*) gekennzeichnet. Wenn Sie den Ressourcenzugriff mit dem Element Resource in einer IAM-Richtlinie einschränken, müssen Sie für jeden erforderlichen Ressourcentyp einen ARN oder ein Muster angeben. Einige Aktionen unterstützen mehrere Ressourcentypen. Wenn der Ressourcentyp optional ist (nicht als erforderlich angegeben), können Sie sich für einen der optionalen Ressourcentypen entscheiden.
Die Spalte Bedingungsschlüssel der Tabelle der Aktionen enthält Schlüssel, die Sie im Element Condition einer Richtlinienanweisung angeben können. Weitere Informationen zu den Bedingungsschlüsseln, die den Ressourcen für den Service zugeordnet sind, finden Sie in der Spalte Bedingungsschlüssel der Tabelle der Ressourcentypen.
Anmerkung
Die Ressourcenbedingungsschlüssel sind in der Tabelle Ressourcentypen enthalten. Sie finden einen Link zu dem Ressourcentyp, der für eine Aktion gilt, in der Spalte Ressourcentypen (*erforderlich) der Tabelle „Aktionen“. Der Ressourcentyp in der Tabelle „Ressourcentypen“ enthält die Spalte Bedingungsschlüssel. Das sind die Ressourcenbedingungsschlüssel, die für eine Aktion in der Tabelle „Aktionen“ gelten.
Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Aktionen
| Aktionen | Beschreibung | Zugriffsebene | Ressourcentypen (*erforderlich) | Bedingungsschlüssel | Abhängige Aktionen |
|---|---|---|---|---|---|
| ActivateGateway | Gewährt die Berechtigung, das Gateway zu aktivieren, das Sie zuvor auf Ihrem Host bereitgestellt haben | Write | |||
| AddCache | Gewährt die Berechtigung zum Konfigurieren einer oder mehrerer lokaler Gateway-Festplatten als Cache für ein Cached-Volume-Gateway | Write | |||
| AddTagsToResource | Gewährt die Berechtigung zum Hinzufügen eines oder mehrerer Tags zur angegebenen Ressource | Markieren | |||
| AddUploadBuffer | Gewährt die Berechtigung zum Konfigurieren einer oder mehrerer lokaler Gateway-Festplatten als Upload-Puffer für ein bestimmtes Gateway | Write | |||
| AddWorkingStorage | Gewährt die Berechtigung, eine oder mehrere lokale Gateway-Festplatten als Arbeitsspeicher für ein Gateway zu konfigurieren | Write | |||
| AssignTapePool | Gewährt die Berechtigung, ein Band in den angegebenen Zielpool zu verschieben | Write | |||
| AssociateFileSystem | Gewährt die Berechtigung, ein Amazon FSx-Dateisystem mit dem Amazon FSx-Datei-Gateway zu verknüpfen | Write |
ds:DescribeDirectories ec2:DescribeNetworkInterfaces fsx:DescribeFileSystems iam:CreateServiceLinkedRole logs:CreateLogDelivery logs:GetLogDelivery logs:ListLogDeliveries logs:UpdateLogDelivery |
||
| AttachVolume | Bei dieser Produktion wird ein Volume mit einer iSCSI-Verbindung verbunden und dann an das angegebene Gateway angefügt. | Write | |||
| BypassGovernanceRetention | Gewährt die Berechtigung, die Governance-Aufbewahrungssperre für einen Pool zu umgehen | Write | |||
| CancelArchival | Gewährt die Berechtigung, die Archivierung eines virtuellen Bands auf dem virtuellen Bandregal (VTS) abzubrechen, nachdem der Archivierungsprozess eingeleitet wird | Write | |||
| CancelRetrieval | Gewährt die Berechtigung, den Abruf eines virtuellen Bands vom virtuellen Bandregal (VTS) zu einem Gateway abzubrechen, nachdem der Abrufvorgang initiiert wird | Write | |||
| CreateCachediSCSIVolume | Gewährt die Berechtigung zum Erstellen eines Cached-Volumes auf einem angegebenen Cached-Gateway. Diese Produktion wird nur für die Gateway-Cached-Volume-Architektur unterstützt. | Write | |||
| CreateNFSFileShare | Gewährt die Berechtigung zum Erstellen einer NFS-Dateifreigabe auf einem vorhandenen Datei-Gateway | Write | |||
| CreateSMBFileShare | Gewährt die Berechtigung zum Erstellen einer SMB-Dateifreigabe auf einem vorhandenen Datei-Gateway | Write | |||
| CreateSnapshot | Gewährt die Berechtigung, einen Snapshot eines Volumes zu initiieren | Write | |||
| CreateSnapshotFromVolumeRecoveryPoint | Gewährt die Berechtigung, einen Snapshot eines Gateways aus einem Volume-Wiederherstellungspunkt | Write | |||
| CreateStorediSCSIVolume | Gewährt die Berechtigung zum Erstellen eines Volumes auf einem bestimmten Gateway | Write | |||
| CreateTapePool | Gewährt die Berechtigung zum Erstellen einer Tabelle. | Write | |||
| CreateTapeWithBarcode | Gewährt die Erlaubnis, ein virtuelles Band mit Ihrem eigenen Barcode zu erstellen | Write | |||
| CreateTapes | Gewährt die Berechtigung zum Erstellen eines oder mehrerer virtueller Bänder. Sie schreiben Daten auf die virtuellen Bänder und archivieren dann die Bänder. | Write | |||
| DeleteAutomaticTapeCreationPolicy | Gewährt die Berechtigung zum Löschen der Richtlinie zur automatischen Banderstellung, die in einem Gateway-VTL konfiguriert ist | Write | |||
| DeleteBandwidthRateLimit | Gewährt die Berechtigung zum Löschen der Bandbreitenratengrenzen eines Gateways | Write | |||
| DeleteChapCredentials | Diese Produktion löscht Challenge-Handshake Authentication Protocol (CHAP)-Anmeldeinformationen für ein bestimmtes iSCSI-Ziel und Initiator-Paar. | Write | |||
| DeleteFileShare | Gewährt die Berechtigung zum Löschen einer Dateifreigabe von einem Datei-Gateway | Write | |||
| DeleteGateway | Gewährt die Berechtigung zum Löschen eines Gateways | Write | |||
| DeleteSnapshotSchedule | Gewährt die Berechtigung zum Löschen eines Snapshots eines Volumes | Write | |||
| DeleteTape | Gewährt die Berechtigung zum Löschen des angegebenen virtuellen Bandes | Write | |||
| DeleteTapeArchive | Gewährt die Berechtigung, das angegebene virtuelle Band aus dem virtuellen Bandregal (VTS) zu löschen | Write | |||
| DeleteTapePool | Gewährt die Berechtigung zum Löschen des angegebenen Band-Pool | Write | |||
| DeleteVolume | Gewährt die Berechtigung zum Löschen des angegebenen Gateway-Volumes, das Sie zuvor mit der CreateCacheDiscsiVolume- oder CreateStoreDiscsiVolume-API erstellt haben | Write | |||
| DescribeAvailabilityMonitorTest | Gewährt die Berechtigung zum Abrufen der Informationen über den neuesten Hochverfügbarkeitsüberwachungstest, der am Gateway durchgeführt wurde | Read | |||
| DescribeBandwidthRateLimit | Gewährt die Berechtigung zum Abrufen der Bandbreitenratengrenzen eines Gateways | Read | |||
| DescribeBandwidthRateLimitSchedule | Gewährt die Berechtigung, den Zeitplan für das Bandbreitenlimit eines Gateways zu erhalten | Read | |||
| DescribeCache | Gewährt die Berechtigung, Informationen über den Cache eines Gateways zu erhalten. Diese Produktion wird nur für die Gateway-Cached-Volume-Architektur unterstützt. | Read | |||
| DescribeCachediSCSIVolumes | Gewährt die Berechtigung zum Abrufen einer Beschreibung der in der Anfrage angegebenen Gateway-Volumes. Diese Produktion wird nur für die Gateway-Cached-Volume-Architektur unterstützt. | Read | |||
| DescribeChapCredentials | Gewährt die Berechtigung zum Abrufen eines Arrays von CHALENGE-Handshake Authentication Protocol (CHAP) für ein bestimmtes iSCSI-Ziel, eines für jedes Zielinitiatorenpaar | Read | |||
| DescribeFileSystemAssociations | Gewährt die Berechtigung zum Abrufen einer Beschreibung für eine oder mehrere Dateisystemmappingen | Read | |||
| DescribeGatewayInformation | Gewährt die Berechtigung zum Abrufen von Metadaten über ein Gateway wie seinen Namen, seine Netzwerkschnittstellen, die konfigurierte Zeitzone und den Status (ob das Gateway läuft oder nicht) | Read | |||
| DescribeMaintenanceStartTime | Gewährt die Erlaubnis, die wöchentliche Wartungsstartzeit Ihres Gateways zu erhalten, einschließlich Tag und Uhrzeit der Woche | Read | |||
| DescribeNFSFileShares | Gewährt die Berechtigung zum Abrufen einer Beschreibung für eine oder mehrere Dateifreigaben von einem File Gateway | Read | |||
| DescribeSMBFileShares | Gewährt die Berechtigung zum Abrufen einer Beschreibung für eine oder mehrere Dateifreigaben von einem File Gateway | Read | |||
| DescribeSMBSettings | Bei dieser Produktion wird eine Beschreibung der Server Message Block (SMB)-Dateifreigabe-Einstellungen aus einem Datei-Gateway abgerufen. | Read | |||
| DescribeSnapshotSchedule | Gewährt die Berechtigung, den Snapshot-Zeitplan für das angegebene Gateway-Volume | Read | |||
| DescribeStorediSCSIVolumes | Gewährt die Berechtigung zum Abrufen einer Beschreibung der in der Anfrage angegebenen Gateway-Volumes. | Read | |||
| DescribeTapeArchives | Gewährt die Erlaubnis, eine Beschreibung bestimmter virtueller Bänder im virtuellen Band-Shelf (VTS) zu erhalten | Read | |||
| DescribeTapeRecoveryPoints | Gibt eine Liste der Wiederherstellungspunkte der virtuellen Bänder zurück, die für die angegebene Gateway-VTL verfügbar sind. | Read | |||
| DescribeTapes | Gibt eine Beschreibung des angegebenen Amazon-Ressourcennamens (ARN) der virtuellen Bänder zurück. | Read | |||
| DescribeUploadBuffer | Gewährt die Berechtigung, Informationen über den Upload-Puffer eines Gateways zu erhalten | Read | |||
| DescribeVTLDevices | Gewährt die Berechtigung zum Abrufen einer der virtuellen Bandbibliothek (Virtual Tape Library (VTL))-Geräte für das angegebene Gateway | Read | |||
| DescribeWorkingStorage | Gewährt die Berechtigung zum Abrufen von Informationen über den Arbeitsspeicher eines Gateways | Read | |||
| DetachVolume | Gewährt die Berechtigung, ein Volume von einer iSCSI-Verbindung zu trennen, und trennt dann das Volume vom angegebenen Gateway | Write | |||
| DisableGateway | Gewährt die Berechtigung zum Deaktivieren eines Gateways, wenn das Gateway nicht mehr funktioniert | Write | |||
| DisassociateFileSystem | Gewährt die Berechtigung, ein Amazon FSx-Dateisystem von einem Amazon FSx-Datei-Gateway zu trennen | Write | |||
| JoinDomain | Gewährt die Berechtigung zum Beitritt zu einer Active Directory-Domain | Schreiben | |||
| ListAutomaticTapeCreationPolicies | Gewährt die Berechtigung zum Auflisten der Richtlinie zur automatischen Banderstellung, die für das angegebene Gateway-VTL oder alle Gateway-VTLs Ihres AWS-Kontos konfiguriert sind | Auflisten | |||
| ListFileShares | Gewährt die Berechtigung zum Abrufen einer Liste der Dateifreigaben für ein bestimmtes File Gateway oder die Liste der Dateifreigaben, die zu Ihrem AWS-Konto gehören | Auflisten | |||
| ListFileSystemAssociations | Gewährt die Berechtigung zum Abrufen einer Liste der Dateisystemmappingen für das angegebene Gateway | List | |||
| ListGateways | Gewährt die Berechtigung zum Auflisten von Gateways, die einem AWS-Konto in einer in der Anfrage angegebenen Region gehören. Die zurückgegebene Liste wird nach Amazon-Ressourcenname (ARN) des Gateways sortiert. | List | |||
| ListLocalDisks | Gewährt die Berechtigung, eine Liste der lokalen Festplatten des Gateways zu erhalten | List | |||
| ListTagsForResource | Gewährt die Berechtigung, die Tags zu erhalten, die der angegebenen Ressource hinzugefügt wurden | List | |||
| ListTapePools | Gewährt die Berechtigung, Band-Pools aufzulisten, die Ihrem AWS-Konto gehören | List | |||
| ListTapes | Gewährt die Berechtigung zum Auflisten virtueller Bänder in Ihrer virtuellen Bandbibliothek (VTL) und Ihrem virtuellen Bandregal (VTS) | List | |||
| ListVolumeInitiators | Gewährt die Berechtigung zum Auflisten von iSCSI-Initiatoren, die mit einem Volume verbunden sind | List | |||
| ListVolumeRecoveryPoints | Gewährt die Berechtigung zum Auflisten der Wiederherstellungspunkte für ein bestimmtes Gateway | List | |||
| ListVolumes | Gewährt die Berechtigung zum Auflisten der iSCSI-gespeicherten Volumes eines Gateways | List | |||
| NotifyWhenUploaded | Gewährt die Berechtigung, Ihnen eine Benachrichtigung über CloudWatch Events zu senden, wenn alle in Ihre NFS-Dateifreigabe geschriebenen Dateien auf Amazon S3 hochgeladen wurden | Write | |||
| RefreshCache | Gewährt die Berechtigung, den Cache für die angegebene Dateifreigabe zu aktualisieren | Write | |||
| RemoveTagsFromResource | Gewährt die Berechtigung zum Entfernen eines oder mehrerer Tags aus der angegebenen Ressource | Markieren | |||
| ResetCache | Gewährt die Berechtigung zum Zurücksetzen aller Cache-Datenträger, die auf einen Fehler gestoßen sind, und stellt die Datenträger für die Neukonfiguration als Cache-Speicher zur Verfügung | Write | |||
| RetrieveTapeArchive | Gewährt die Berechtigung zum Abrufen eines archivierten virtuellen Bands vom virtuellen Bandregal (VTS) zu einem Gateway-VTL | Write | |||
| RetrieveTapeRecoveryPoint | Gewährt die Berechtigung zum Abrufen des Wiederherstellungspunkts für das angegebene virtuelle Band | Write | |||
| SetLocalConsolePassword | Gewährt die Berechtigung zum Festlegen des Kennworts für Ihre lokale VM-Konsole | Write | |||
| SetSMBGuestPassword | Gewährt die Berechtigung zum Festlegen des Kennworts für SMB Guest-Benutzer | Write | |||
| ShutdownGateway | Gewährt die Berechtigung zum Herunterfahren eines Gateways | Write | |||
| StartAvailabilityMonitorTest | Gewährt die Berechtigung zum Starten eines Tests, der überprüft, ob das angegebene Gateway für die Hochverfügbarkeitsüberwachung in Ihrer Hostumgebung konfiguriert ist | Write | |||
| StartGateway | Gewährt die Berechtigung zum Starten eines Gateways, das Sie zuvor heruntergefahren haben | Write | |||
| UpdateAutomaticTapeCreationPolicy | Gewährt die Berechtigung zum Aktualisieren der Richtlinie zur automatischen Banderstellung, die für ein Gateway-VTL konfiguriert ist | Write | |||
| UpdateBandwidthRateLimit | Gewährt die Berechtigung zur Aktualisierung der Bandbreitenratengrenzen eines Gateways | Write | |||
| UpdateBandwidthRateLimitSchedule | Gewährt die Berechtigung zur Aktualisierung des Zeitplans für das Bandbreitenlimit eines Gateways | Write | |||
| UpdateChapCredentials | Gewährt die Berechtigung zum Aktualisieren der Anmeldeinformationen für das Challenge-Handshake Authentication Protocol (CHAP) für ein bestimmtes iSCSI-Ziel | Write | |||
| UpdateFileSystemAssociation | Gewährt die Berechtigung zum Aktualisieren einer Dateisystemmapping | Write |
logs:CreateLogDelivery logs:DeleteLogDelivery logs:GetLogDelivery logs:ListLogDeliveries logs:UpdateLogDelivery |
||
| UpdateGatewayInformation | Gewährt die Berechtigung zum Aktualisieren der Metadaten eines Gateways, einschließlich des Namens und der Zeitzone des Gateways | Write | |||
| UpdateGatewaySoftwareNow | Gewährt die Berechtigung zum Aktualisieren der virtuellen Gateway-Maschine (VM)-Software | Write | |||
| UpdateMaintenanceStartTime | Gewährt die Berechtigung, die wöchentlichen Wartungsstartzeitinformationen eines Gateways zu aktualisieren, einschließlich Tag und Uhrzeit der Woche. Die Wartungszeit ist die Zeit in der Zeitzone Ihres Gateways. | Write | |||
| UpdateNFSFileShare | Gewährt die Berechtigung zum Aktualisieren einer NFS-Dateifreigabe | Write | |||
| UpdateSMBFileShare | Gewährt die Berechtigung zum Aktualisieren einer SMB-Dateifreigabe | Write | |||
| UpdateSMBFileShareVisibility | Gewährt die Berechtigung zum Aktualisieren, ob die Freigaben auf einem Gateway in einer Netzansicht oder einer Suchliste sichtbar sind | Schreiben | |||
| UpdateSMBLocalGroups | Erteilt die Berechtigung zum Aktualisieren der Liste der Active Directory-Benutzer und -Gruppen, die über spezielle Berechtigungen für SMB-Dateifreigaben im Gateway verfügen | Schreiben | |||
| UpdateSMBSecurityStrategy | Gewährt die Berechtigung zur Aktualisierung der SMB-Sicherheitsstrategie für ein Datei-Gateway | Write | |||
| UpdateSnapshotSchedule | Gewährt die Berechtigung zum Aktualisieren eines für ein Gateway-Volume konfigurierten Snapshot-Zeitplans | Write | |||
| UpdateVTLDeviceType | Gewährt die Berechtigung, den Typ des mittleren Mediums in einem Gateway-VTL zu aktualisieren | Schreiben |
Von AWS Storage Gateway definierte Ressourcentypen
Die folgenden Ressourcentypen werden von diesem Service definiert und können im Element Resource von IAM-Berechtigungsrichtlinienanweisungen verwendet werden. Jede Aktion in der Tabelle "Actions" (Aktionen) identifiziert die Ressourcentypen, die mit der Aktion angegeben werden können. Ein Ressourcentyp kann auch definieren, welche Bedingungsschlüssel Sie in einer Richtlinie einschließen können. Diese Schlüssel werden in der letzten Spalte der Tabelle der Ressourcentypen angezeigt. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Resource types.
| Ressourcentypen | ARN | Bedingungsschlüssel |
|---|---|---|
| device |
arn:${Partition}:storagegateway:${Region}:${Account}:gateway/${GatewayId}/device/${Vtldevice}
|
|
| fs-association |
arn:${Partition}:storagegateway:${Region}:${Account}:fs-association/${FsaId}
|
|
| gateway |
arn:${Partition}:storagegateway:${Region}:${Account}:gateway/${GatewayId}
|
|
| share |
arn:${Partition}:storagegateway:${Region}:${Account}:share/${ShareId}
|
|
| tape |
arn:${Partition}:storagegateway:${Region}:${Account}:tape/${TapeBarcode}
|
|
| tapepool |
arn:${Partition}:storagegateway:${Region}:${Account}:tapepool/${PoolId}
|
|
| target |
arn:${Partition}:storagegateway:${Region}:${Account}:gateway/${GatewayId}/target/${IscsiTarget}
|
|
| volume |
arn:${Partition}:storagegateway:${Region}:${Account}:gateway/${GatewayId}/volume/${VolumeId}
|
Bedingungsschlüssel für AWS Storage Gateway
AWS Storage Gateway definiert die folgenden Bedingungsschlüssel, die in einem Condition Element einer IAM-Richtlinie verwendet werden können. Diese Schlüssel können Sie verwenden, um die Bedingungen zu verfeinern, unter denen die Richtlinienanweisung angewendet wird. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Condition keys (Bedingungsschlüssel).
Eine Liste der globalen Bedingungsschlüssel, die für alle Services verfügbar sind, finden Sie unter Verfügbare globale Bedingungsschlüssel.
| Bedingungsschlüssel | Beschreibung | Typ |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtert den Zugriff basierend auf den zulässigen Werten für jeden der Tags | Zeichenfolge |
| aws:ResourceTag/${TagKey} | Filtert den Zugriff nach dem Tag-Wert, der der Ressource zugeordnet ist | Zeichenfolge |
| aws:TagKeys | Filtert den Zugriff nach dem Vorhandensein verbindlicher Tags in der Anforderung | ArrayOfString |
