Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiele für vom Kunden verwaltete Richtlinien
In diesem Abschnitt finden Sie Beispielbenutzerrichtlinien, die Berechtigungen für verschiedene AWS Snowball Job-Management-Aktionen gewähren. Diese Richtlinien funktionieren, wenn Sie AWS SDKs oder die verwenden AWS CLI. Bei Verwendung der Konsole müssen Sie zusätzliche konsolenspezifische Berechtigungen erteilen, die im Abschnitt Für die Verwendung der AWS Snowball Konsole sind Berechtigungen erforderlich erläutert werden.
Anmerkung
Alle Beispiele verwenden die Region US-West-2 und enthalten ein fiktives Konto. IDs
Beispiele
- Beispiel 1: Rollenrichtlinie, die es einem Benutzer ermöglicht, einen Job zur Bestellung eines Snow Family-Geräts mit dem zu erstellen API
- Beispiel 2: Rollenrichtlinie zum Erstellen von Importaufträgen
- Beispiel 3: Rollenrichtlinie zum Erstellen von Exportaufträgen
- Beispiel 4: Erwartete Rollenberechtigungen und Vertrauensrichtlinie
- AWS Snowball APIBerechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen
Beispiel 1: Rollenrichtlinie, die es einem Benutzer ermöglicht, einen Job zur Bestellung eines Snow Family-Geräts mit dem zu erstellen API
Die folgende Berechtigungsrichtlinie ist ein notwendiger Bestandteil jeder Richtlinie, die verwendet wird, um mithilfe der Auftragsverwaltung Berechtigungen zur Erstellung von Jobs oder Clustern zu erteilenAPI. Die Erklärung wird als Grundsatzerklärung zur Vertrauensbeziehung für die IAM Snowball-Rolle benötigt.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "importexport.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Beispiel 2: Rollenrichtlinie zum Erstellen von Importaufträgen
Sie verwenden die folgende Rollenvertrauensrichtlinie, um Importaufträge für Snowball Edge zu erstellen, die AWS Lambda AWS IoT Greengrass Power-By-Funktionen verwenden.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucketMultipartUploads" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "s3:GetBucketPolicy", "s3:GetBucketLocation", "s3:ListBucketMultipartUploads", "s3:ListBucket", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts", "s3:PutObjectAcl", "s3:GetObject" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CreateKeysAndCertificate", "iot:CreatePolicy", "iot:CreateThing", "iot:DescribeEndpoint", "iot:GetPolicy" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetFunction" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "greengrass:CreateCoreDefinition", "greengrass:CreateDeployment", "greengrass:CreateDeviceDefinition", "greengrass:CreateFunctionDefinition", "greengrass:CreateGroup", "greengrass:CreateGroupVersion", "greengrass:CreateLoggerDefinition", "greengrass:CreateSubscriptionDefinition", "greengrass:GetDeploymentStatus", "greengrass:UpdateGroupCertificateConfiguration", "greengrass:CreateGroupCertificateAuthority", "greengrass:GetGroupCertificateAuthority", "greengrass:ListGroupCertificateAuthorities", "greengrass:ListDeployments", "greengrass:GetGroup", "greengrass:GetGroupVersion", "greengrass:GetCoreDefinitionVersion" ], "Resource": [ "*" ] } ] }
Beispiel 3: Rollenrichtlinie zum Erstellen von Exportaufträgen
Sie verwenden die folgende Rollenvertrauensrichtlinie, um Exportaufträge für Snowball Edge zu erstellen, die AWS Lambda AWS IoT Greengrass Power-By-Funktionen verwenden.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CreateKeysAndCertificate", "iot:CreatePolicy", "iot:CreateThing", "iot:DescribeEndpoint", "iot:GetPolicy" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetFunction" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "greengrass:CreateCoreDefinition", "greengrass:CreateDeployment", "greengrass:CreateDeviceDefinition", "greengrass:CreateFunctionDefinition", "greengrass:CreateGroup", "greengrass:CreateGroupVersion", "greengrass:CreateLoggerDefinition", "greengrass:CreateSubscriptionDefinition", "greengrass:GetDeploymentStatus", "greengrass:UpdateGroupCertificateConfiguration", "greengrass:CreateGroupCertificateAuthority", "greengrass:GetGroupCertificateAuthority", "greengrass:ListGroupCertificateAuthorities", "greengrass:ListDeployments", "greengrass:GetGroup", "greengrass:GetGroupVersion", "greengrass:GetCoreDefinitionVersion" ], "Resource": [ "*" ] } ] }
Beispiel 4: Erwartete Rollenberechtigungen und Vertrauensrichtlinie
Die folgende Richtlinie für erwartete Rollenberechtigungen ist für die Verwendung einer vorhandenen Servicerolle erforderlich. Es handelt sich um eine einmalige Einrichtung.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sns:Publish", "Resource": ["[[snsArn]]"] }, { "Effect": "Allow", "Action": [ "cloudwatch:ListMetrics", "cloudwatch:GetMetricData", "cloudwatch:PutMetricData" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/SnowFamily" } } } ] }
Die folgende Richtlinie für das Vertrauen in Rollen ist für die Verwendung einer vorhandenen Servicerolle erforderlich. Es handelt sich um eine einmalige Einrichtung.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "importexport.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
AWS Snowball APIBerechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen
Wenn Sie eine Berechtigungsrichtlinie einrichten Zugriffskontrolle im AWS Cloud und schreiben, die Sie einer IAM Identität zuordnen können (identitätsbasierte Richtlinien), können Sie die folgende Tabellenliste verwenden. In der folgenden Tabelle die einzelnen AWS Snowball API Auftragsverwaltungsvorgänge und die entsprechenden Aktionen aufgeführt, für die Sie Berechtigungen zur Ausführung der Aktion erteilen können. Sie enthält außerdem für jeden API Vorgang die AWS Ressource, für die Sie die Berechtigungen erteilen können. Die Aktionen geben Sie im Feld Action
und den Wert für die Ressource im Feld Resource
der Richtlinie an.
Sie können in Ihren AWS Snowball Richtlinien AWS allgemeine Bedingungsschlüssel verwenden, um Bedingungen auszudrücken. Eine vollständige Liste der Schlüssel für AWS die gesamte Breite finden Sie im IAMBenutzerhandbuch unter Verfügbare Schlüssel.
Anmerkung
Um eine Aktion anzugeben, verwenden Sie das snowball:
Präfix gefolgt vom Namen der API Operation (z. B.snowball:CreateJob
).
Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.