Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Políticas administradas por el cliente de IAM paraAWS DataSync
Además de las políticasAWS gestionadas, también puedes crear tus propias políticas basadas en identidades para las operaciones de laAWS DataSync API y adjuntarlas a las identidadesAWS Identity and Access Management (de IAM) que requieren esos permisos. Se conocen como políticas administradas por el cliente, que son políticas independientes que usted administra por su cuenta deCuenta de AWS.
importante
Antes de comenzar, le recomendamos que conozca los conceptos y opciones básicos para administrar el acceso a susDataSync recursos. Para obtener más información, consulte Administración de acceso paraAWS DataSync.
Información general de políticas personalizadas
El siguiente ejemplo es una política que otorga permisos para utilizar determinadasDataSync operaciones.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsSpecifiedActionsOnAllTasks", "Effect": "Allow", "Action": [ "datasync:DescribeTask", "datasync:ListTasks" ], "Resource": "arn:aws:datasync:us-east-2:111222333444:task/*" }, }
La política tiene una declaración (observe losResource elementosAction y de la declaración) que hace lo siguiente:
-
Otorga permisos para realizar dosDataSync acciones (
datasync:DescribeTaskydatasync:ListTasks) en determinados recursos de tareas mediante un nombre de recurso de Amazon (ARN). -
Especifica un carácter comodín (
*) en el ARN de la tarea porque la función de IAM puede realizar las dos acciones en todas las tareas. Para limitar los permisos de las acciones a una tarea específica, especifique el ID de la tarea en lugar del carácter comodín de esa sentencia.
Ejemplos de políticas personalizadas
En el siguiente ejemplo, las políticas de usuario concede permisos para diversasDataSync operaciones. Las políticas funcionan si utilizas losAWS SDK oAWS Command Line Interface (AWS CLI). Para usar estas políticas en la consola, también debe usar la política administradaAWSDataSyncFullAccess.
Ejemplo 1: Cree una relación de confianza que le permita accederDataSync a su bucket de Amazon S3
El ejemplo siguiente es una política de confianza que permite que DataSync adopte un rol de IAM. Este rol permite obtener accesoDataSync a un bucket de Amazon S3. Para evitar el confuso problema de los adjuntos entre servicios, recomendamos utilizar las claves aws:SourceAccountcontextuales aws:SourceArny las condiciones globales de la política.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "datasync.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "StringLike": { "aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*" } } } ] }
Ejemplo 2: PermitaDataSync leer y escribir en su bucket de Amazon S3
La siguiente política de ejemplo otorgaDataSync los permisos mínimos para leer y escribir datos en su bucket de S3.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetBucketLocation", "s3:ListBucket", "s3:ListBucketMultipartUploads" ], "Effect": "Allow", "Resource": "YourS3BucketArn" }, { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:GetObject", "s3:ListMultipartUploadParts", "s3:GetObjectTagging", "s3:PutObjectTagging", "s3:PutObject" ], "Effect": "Allow", "Resource": "YourS3BucketArn/*" } ] }
Ejemplo 3: PermitirDataSync subir registros a grupos deCloudWatch registros
DataSyncrequiere permisos para poder subir registros a tus grupos deCloudWatch registros de Amazon. Puede utilizar grupos deCloudWatch registro para supervisar y depurar sus tareas.
Para ver un ejemplo de una política de IAM que concede dichos permisos, consulteDataSyncPermitir subir registros a grupos deCloudWatch registros.
