IAMLokal auf einem Snow Family-Gerät verwenden - AWS Snowball Edge Leitfaden für Entwickler
Verwendung der Operationen AWS CLI und APIUnterstützte Befehle IAM AWS CLI IAMRichtlinienbeispiele auf Snow Family-GerätenTrustPolicy Beispiel auf einem Snow Family-Gerät

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAMLokal auf einem Snow Family-Gerät verwenden

AWS Identity and Access Management (IAM) hilft Ihnen dabei, den Zugriff auf AWS Ressourcen, die auf Ihrem AWS Snowball Edge Gerät ausgeführt werden, sicher zu kontrollieren. Sie steuern IAM damit, wer authentifiziert (angemeldet) und autorisiert ist (über Berechtigungen verfügt), um Ressourcen zu verwenden.

IAMwird lokal auf Ihrem Gerät unterstützt. Sie können den lokalen IAM Dienst verwenden, um neue Benutzer zu erstellen und ihnen IAM Richtlinien zuzuweisen. Sie können diese Richtlinien verwenden, um den für die Ausführung zugewiesener Aufgaben notwendigen Zugriff zu ermöglichen. Sie können einem Benutzer beispielsweise die Möglichkeit geben, Daten zu übertragen, seine Fähigkeit jedoch einschränken, neue EC2 Amazon-kompatible Instances zu erstellen.

Darüber hinaus können Sie mit AWS Security Token Service (AWS STS) auf Ihrem Gerät lokale, sitzungsbasierte Anmeldeinformationen erstellen. Informationen zum IAM Dienst finden Sie unter Erste Schritte im IAMBenutzerhandbuch.

Die Root-Anmeldeinformationen Ihres Geräts können nicht deaktiviert werden, und Sie können keine Richtlinien in Ihrem Konto verwenden, um dem AWS-Konto Root-Benutzer ausdrücklich den Zugriff zu verweigern. Wir empfehlen Ihnen, Ihre Root-Benutzerzugriffsschlüssel zu sichern und IAM Benutzeranmeldedaten für die tägliche Interaktion mit Ihrem Gerät zu erstellen.

Wichtig

Die Dokumentation in diesem Abschnitt bezieht sich auf die IAM lokale Verwendung auf einem AWS Snowball Edge-Gerät. Informationen zur Verwendung IAM in der AWS Cloud finden Sie unterIdentity and Access Management in AWS Snowball.

Damit AWS Dienste auf einem Snowball Edge ordnungsgemäß funktionieren, müssen Sie die Ports für die Dienste zulassen. Details hierzu finden Sie unter Portanforderungen für AWS Dienste auf einem Snow Family-Gerät.

Verwenden der API Operationen AWS CLI und auf einer Snowball Edge

Wenn Sie die API Operationen AWS CLI oder verwenden IAM AWS STS, um Amazon S3- und EC2 Amazon-Befehle auf Snowball Edge auszugeben, müssen Sie das region als "“ angebensnow. Sie können dies mithilfe aws configure oder innerhalb des Befehls selbst tun, wie in den folgenden Beispielen.


aws configure --profile abc
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: 1234567
Default region name [None]: snow
Default output format [None]: json

Oder


aws iam list-users --profile snowballEdge --endpoint http://192.0.2.0:6078 --region snow
Anmerkung

Die Zugriffsschlüssel-ID und der geheime Zugriffsschlüssel, die lokal auf AWS Snowball Edge verwendet werden, können nicht mit den Schlüsseln in der AWS Cloud ausgetauscht werden.

Liste der unterstützten IAM AWS CLI Befehle auf einem Snowball Edge

Im Folgenden finden Sie eine Beschreibung der Teilmenge der AWS CLI Befehle und OptionenIAM, die auf Snowball Edge-Geräten unterstützt werden. Wenn ein Befehl oder eine Option im Folgenden nicht aufgeführt ist, wird diese(r) nicht unterstützt. Nicht unterstützte Parameter für Befehle sind in der Beschreibung angegeben.

  • attach-role-policy— Fügt die angegebene verwaltete Richtlinie der angegebenen Rolle hinzu. IAM

  • attach-user-policy— Ordnet dem angegebenen Benutzer die angegebene verwaltete Richtlinie zu.

  • create-access-key— Erstellt einen neuen lokalen IAM geheimen Zugriffsschlüssel und die entsprechende AWS Zugriffsschlüssel-ID für den angegebenen Benutzer.

  • create-policy — Erstellt eine neue IAM verwaltete Richtlinie für Ihr Gerät.

  • create-role — Erstellt eine neue lokale IAM Rolle für Ihr Gerät. Die folgenden Parameter werden nicht unterstützt:

    • Tags

    • PermissionsBoundary

  • create-user — Erzeugt einen neuen lokalen IAM Benutzer für Ihr Gerät. Die folgenden Parameter werden nicht unterstützt:

    • Tags

    • PermissionsBoundary

  • delete-access-key— Löscht einen neuen lokalen IAM geheimen Zugriffsschlüssel und die entsprechende AWS Zugriffsschlüssel-ID für den angegebenen Benutzer.

  • delete-policy — Löscht die angegebene verwaltete Richtlinie.

  • delete-role — Löscht die angegebene Rolle.

  • delete-user — Löscht den angegebenen Benutzer.

  • detach-role-policy— Entfernt die angegebene verwaltete Richtlinie aus der angegebenen Rolle.

  • detach-user-policy— Entfernt die angegebene verwaltete Richtlinie vom angegebenen Benutzer.

  • get-policy — Ruft Informationen über die angegebene verwaltete Richtlinie ab, einschließlich der Standardversion der Richtlinie und der Gesamtzahl der lokalen IAM Benutzer, Gruppen und Rollen, denen die Richtlinie zugeordnet ist.

  • get-policy-version— Ruft Informationen über die angegebene Version der angegebenen verwalteten Richtlinie ab, einschließlich des Richtliniendokuments.

  • get-role — Ruft Informationen über die angegebene Rolle ab, einschließlich des Pfads der Rolle GUIDARN, und der Vertrauensrichtlinie der Rolle, die die Berechtigung zur Übernahme der Rolle erteilt.

  • get-user — Ruft Informationen über den angegebenen IAM Benutzer ab, einschließlich des Erstellungsdatums, des Pfads, der eindeutigen ID und des Benutzers. ARN

  • list-access-keys— Gibt Informationen über den Zugriffsschlüssel zurück, der dem angegebenen IAM Benutzer IDs zugeordnet ist.

  • list-attached-role-policies— Listet alle verwalteten Richtlinien auf, die der angegebenen IAM Rolle zugeordnet sind.

  • list-attached-user-policies— Listet alle verwalteten Richtlinien auf, die dem angegebenen IAM Benutzer zugeordnet sind.

  • list-entities-for-policy— Listet alle lokalen IAM Benutzer, Gruppen und Rollen auf, denen die angegebene verwaltete Richtlinie zugeordnet ist.

    • --EntityFilter: Es werden ausschließlich die Werte role und user unterstützt.

  • list-policies — Listet alle verwalteten Richtlinien auf, die in Ihrer lokalen Umgebung verfügbar sind. AWS-Konto Der folgende Parameter wird nicht unterstützt:

    • --PolicyUsageFilter

  • list-roles — Listet die lokalen IAM Rollen auf, die das angegebene Pfadpräfix haben.

  • list-users — Listet die IAM Benutzer auf, die das angegebene Pfadpräfix haben.

  • update-access-key— Ändert den Status des angegebenen Zugriffsschlüssels von Aktiv in Inaktiv oder umgekehrt.

  • update-assume-role-policy— Aktualisiert die Richtlinie, die einer IAM Entität die Erlaubnis erteilt, eine Rolle anzunehmen.

  • update-role — Aktualisiert die Beschreibung oder die Einstellung für die maximale Sitzungsdauer einer Rolle.

  • update-user — Aktualisiert den Namen und/oder den Pfad des angegebenen Benutzers. IAM

Unterstützte IAM API Operationen auf Geräten der Snow Family

Im Folgenden finden Sie die IAM API Operationen, die Sie mit einem Snowball Edge verwenden können, mit Links zu ihren Beschreibungen in der IAM API Referenz.

  • AttachRolePolicy— Fügt die angegebene verwaltete Richtlinie der angegebenen IAM Rolle hinzu.

  • AttachUserPolicy— Ordnet dem angegebenen Benutzer die angegebene verwaltete Richtlinie zu.

  • CreateAccessKey— Erstellt einen neuen lokalen IAM geheimen Zugriffsschlüssel und die entsprechende AWS Zugriffsschlüssel-ID für den angegebenen Benutzer.

  • CreatePolicy— Erstellt eine neue IAM verwaltete Richtlinie für Ihr Gerät.

  • CreateRole— Erstellt eine neue lokale IAM Rolle für Ihr Gerät.

  • CreateUser— Erzeugt einen neuen lokalen IAM Benutzer für Ihr Gerät.

    Die folgenden Parameter werden nicht unterstützt:

    • Tags

    • PermissionsBoundary

  • DeleteAccessKey— Löscht den angegebenen Zugriffsschlüssel.

  • DeletePolicy— Löscht die angegebene verwaltete Richtlinie.

  • DeleteRole— Löscht die angegebene Rolle.

  • DeleteUser— Löscht den angegebenen Benutzer.

  • DetachRolePolicy— Entfernt die angegebene verwaltete Richtlinie aus der angegebenen Rolle.

  • DetachUserPolicy— Entfernt die angegebene verwaltete Richtlinie vom angegebenen Benutzer.

  • GetPolicy— Ruft Informationen über die angegebene verwaltete Richtlinie ab, einschließlich der Standardversion der Richtlinie und der Gesamtzahl der lokalen IAM Benutzer, Gruppen und Rollen, denen die Richtlinie zugeordnet ist.

  • GetPolicyVersion— Ruft Informationen über die angegebene Version der angegebenen verwalteten Richtlinie ab, einschließlich des Richtliniendokuments.

  • GetRole— Ruft Informationen über die angegebene Rolle ab, einschließlich des Rollenpfads, GUIDARN, und der Vertrauensrichtlinie der Rolle, die die Berechtigung zur Übernahme der Rolle erteilt.

  • GetUser— Ruft Informationen über den angegebenen IAM Benutzer ab, einschließlich des Erstellungsdatums, des Pfads, der eindeutigen ID und des Benutzers. ARN

  • ListAccessKeys— Gibt Informationen über den Zugriffsschlüssel zurück, der dem angegebenen IAM Benutzer IDs zugeordnet ist.

  • ListAttachedRolePolicies— Listet alle verwalteten Richtlinien auf, die der angegebenen IAM Rolle zugeordnet sind.

  • ListAttachedUserPolicies— Listet alle verwalteten Richtlinien auf, die dem angegebenen IAM Benutzer zugeordnet sind.

  • ListEntitiesForPolicy— Ruft Informationen über den angegebenen IAM Benutzer ab, einschließlich des Erstellungsdatums, des Pfads, der eindeutigen ID undARN.

    • --EntityFilter: Es werden ausschließlich die Werte role und user unterstützt.

  • ListPolicies— Listet alle verwalteten Richtlinien auf, die in Ihrer Region AWS-Konto verfügbar sind. Der folgende Parameter wird nicht unterstützt:

    • --PolicyUsageFilter

  • ListRoles— Listet die lokalen IAM Rollen auf, die das angegebene Pfadpräfix haben.

  • ListUsers— Listet die IAM Benutzer auf, die das angegebene Pfadpräfix haben.

  • UpdateAccessKey— Ändert den Status des angegebenen Zugriffsschlüssels von Aktiv in Inaktiv oder umgekehrt.

  • UpdateAssumeRolePolicy— Aktualisiert die Richtlinie, die einer IAM Entität die Erlaubnis erteilt, eine Rolle anzunehmen.

  • UpdateRole— Aktualisiert die Beschreibung oder die Einstellung für die maximale Sitzungsdauer einer Rolle.

  • UpdateUser— Aktualisiert den Namen und/oder den Pfad des angegebenen IAM Benutzers.

Unterstützte IAM Richtlinienversion und Grammatik auf Snow Family-Geräten

Im Folgenden finden Sie die lokale IAM Support-Version 2012-10-17 der IAM Richtlinie und einen Teil der Richtliniengrammatik.

Richtlinientyp Unterstützte Grammatik
Identitätsbasierte Richtlinien (Benutzer-/Rollenrichtlinie) Effect“, „Action“ und „Resource
Anmerkung

Local unterstützt "Condition„," „," "NotActionundNotResource"“ IAM nicht. Principal

Ressourcenbasierte Richtlinien (Rollenvertrauensrichtlinie) Effect“, „Action“ und „Principal
Anmerkung

Für Principal sind nur AWS-Konto ID oder Prinzipal-ID zulässig.

IAMRichtlinienbeispiele auf Snow Family-Geräten

Anmerkung

AWS Identity and Access Management (IAM) Benutzer benötigen "snowballdevice:*" Berechtigungen, um die AWS OpsHub for Snow Family Anwendung zur Verwaltung von Snow Family-Geräten zu verwenden.

Im Folgenden finden Sie Beispiele für Richtlinien, die einem Snowball Edge-Gerät Berechtigungen gewähren.

Zulassen des GetUser Anrufs für einen Beispielbenutzer auf einem Snow Family-Gerät über IAM API

Verwenden Sie die folgende Richtlinie, um den GetUser Anruf für einen Beispielbenutzer über die zuzulassen IAMAPI.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "iam:GetUser",
            "Resource": "arn:aws:iam:::user/example-user"
        }
    ]
}

Vollzugriff auf Amazon S3 API auf einem Snow Family-Gerät zulassen

Verwenden Sie die folgende Richtlinie, um vollen Zugriff auf Amazon S3 zu gewährenAPI.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": "*"
            
        }
    ]
}

Lese- und Schreibzugriff auf einen Amazon S3 S3-Bucket auf einem Snow Family-Gerät zulassen

Mit der folgenden Richtlinie ermöglichen Sie den Lese- und Schreibzugriff auf einen bestimmten Bucket.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::bucket-name"
        },
        {
            "Sid": "AllObjectActions",
            "Effect": "Allow",
            "Action": "s3:*Object",
            "Resource": "arn:aws:s3:::bucket-name/*"
        }
    ]
}

Zulassen des Auflisten-, Abruf- und Platzzugriffs auf einen Amazon S3 S3-Bucket auf einem Snow Family-Gerät

Verwenden Sie die folgende Richtlinie, um List-, Get- und Put-Zugriff auf einen bestimmten S3-Bucket zuzulassen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:List*"
            ],
            "Resource": "arn:aws:s3:::examplebucket/*"
        }
    ]
}

Vollzugriff auf Amazon EC2 API auf einem Snow Family-Gerät zulassen

Verwenden Sie die folgende Richtlinie, um vollen Zugriff auf Amazon zu gewährenEC2.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:*",
            "Resource": "*"
        }
    ]
}

Zulassen des Zugriffs zum Starten und Beenden von EC2 Amazon-kompatiblen Instances auf einem Snow Family-Gerät

Verwenden Sie die folgende Richtlinie, um den Zugriff zum Starten und Stoppen von EC2 Amazon-Instances zu gewähren.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*"
        }
    ]
}

Anrufe auf einem Snow Family-Gerät ablehnen, DescribeLaunchTemplates DescribeImages aber alle Anrufe zulassen

Mit der folgenden Richtlinie können Sie Aufrufe von DescribeLaunchTemplates ablehnen, jedoch alle Aufrufe von DescribeImages zulassen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ec2:DescribeLaunchTemplates"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages"
            ],
            "Resource": "*"
        }
    ]
}

Richtlinie für API Anrufe auf einem Snow Family-Gerät

Listet alle verwalteten Richtlinien auf, die auf Ihrem Snow-Gerät verfügbar sind, einschließlich Ihrer eigenen, vom Kunden definierten verwalteten Richtlinien. Weitere Einzelheiten finden Sie in der Liste der Richtlinien.

aws iam list-policies --endpoint http://ip-address:6078 --profile snowballEdge --region snow
{
    "Policies": [
        {
            "PolicyName": "Administrator",
            "Description": "Root user admin policy for Account 123456789012",
            "CreateDate": "2020-03-04T17:44:59.412Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "policy-id",
            "DefaultVersionId": "v1",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:policy/Administrator",
            "UpdateDate": "2020-03-04T19:10:45.620Z"
        }
    ]
}

TrustPolicy Beispiel auf einem Snow Family-Gerät

Eine Vertrauensrichtlinie gibt einen Satz temporärer Sicherheitsanmeldedaten zurück, mit denen Sie auf AWS Ressourcen zugreifen können, auf die Sie normalerweise keinen Zugriff haben. Diese temporären Anmeldeinformationen bestehen aus einer Zugriffsschlüssel-ID, einem geheimen Zugriffsschlüssel und einem Sicherheits-Token. In der Regel verwenden Sie für den kontoübergreifenden Zugriff AssumeRole in Ihrem Konto.

Im Folgenden finden Sie ein Beispiel für eine Vertrauensrichtlinie. Weitere Informationen zur Vertrauensrichtlinie finden Sie AssumeRolein der AWS Security Token Service APIReferenz.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::AccountId:root" //You can use the Principal ID instead of the account ID. 
                ]
            },
            "Action": [
                "sts:AssumeRole"
            ]
        }
    ]
}