Ejemplo 1: Política de roles que permite a un usuario crear un trabajo para solicitar un dispositivo Snowball Edge con la API Ejemplo 2: Política de roles para crear trabajos de importación Ejemplo 3: Política de roles para crear trabajos de exportación Ejemplo 4: Política de confianza y de permisos de rol esperados Información sobre los permisos de la API de administración de trabajos

Ejemplos de políticas administradas por el cliente

En esta sección, encontrará ejemplos de políticas de usuario que otorgan permisos para diversas acciones de administración de AWS Snowball trabajos. Estas políticas funcionan cuando se utiliza AWS SDKs o el AWS CLI. Cuando se utiliza la consola, debe conceder permisos adicionales específicos a la consola, tal y como se explica en Permisos necesarios para usar la AWS Snowball consola.

nota

Todos los ejemplos utilizan la región us-west-2 y contienen un relato ficticio. IDs

Ejemplos

Ejemplo 1: Política de roles que permite a un usuario crear un trabajo para solicitar un dispositivo Snowball Edge con la API
Ejemplo 2: Política de roles para crear trabajos de importación
Ejemplo 3: Política de roles para crear trabajos de exportación
Ejemplo 4: Política de confianza y de permisos de rol esperados
AWS Snowball Permisos de API: referencia de acciones, recursos y condiciones

Ejemplo 1: Política de roles que permite a un usuario crear un trabajo para solicitar un dispositivo Snowball Edge con la API

La política de permisos siguiente es un componente necesario de cualquier política que se utiliza para conceder permisos de creación de trabajos o clústeres con la API de administración de trabajos. La declaración es necesaria como declaración de política de relaciones de confianza para el rol de IAM de Snowball.



{
    "Version": "2012-10-17",
    "Statement": [
    {
         "Effect": "Allow",
         "Principal": {
         "Service": "importexport.amazonaws.com"
    },
    "Action": "sts:AssumeRole"
    }
    ]
}

Ejemplo 2: Política de roles para crear trabajos de importación

Utilice la siguiente política de confianza de roles para crear trabajos de importación para Snowball Edge que utilicen AWS Lambda powered by AWS IoT Greengrass functions.



                    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketPolicy",
                "s3:GetBucketLocation",
                "s3:ListBucketMultipartUploads",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts",
                "s3:PutObjectAcl",
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "snowball:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iot:AttachPrincipalPolicy",
                "iot:AttachThingPrincipal",
                "iot:CreateKeysAndCertificate",
                "iot:CreatePolicy",
                "iot:CreateThing",
                "iot:DescribeEndpoint",
                "iot:GetPolicy"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "lambda:GetFunction"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "greengrass:CreateCoreDefinition",
                "greengrass:CreateDeployment",
                "greengrass:CreateDeviceDefinition",
                "greengrass:CreateFunctionDefinition",
                "greengrass:CreateGroup",
                "greengrass:CreateGroupVersion",
                "greengrass:CreateLoggerDefinition",
                "greengrass:CreateSubscriptionDefinition",
                "greengrass:GetDeploymentStatus",
                "greengrass:UpdateGroupCertificateConfiguration",
                "greengrass:CreateGroupCertificateAuthority",
                "greengrass:GetGroupCertificateAuthority",
                "greengrass:ListGroupCertificateAuthorities",
                "greengrass:ListDeployments", 
                "greengrass:GetGroup", 
                "greengrass:GetGroupVersion", 
                "greengrass:GetCoreDefinitionVersion"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Ejemplo 3: Política de roles para crear trabajos de exportación

Utilice la siguiente política de confianza de roles para crear trabajos de exportación para Snowball Edge que utilicen AWS Lambda powered by AWS IoT Greengrass functions.



                    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
           "Effect": "Allow",
           "Action": [
                "snowball:*"
           ],
           "Resource": [
                "*"
           ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iot:AttachPrincipalPolicy",
                "iot:AttachThingPrincipal",
                "iot:CreateKeysAndCertificate",
                "iot:CreatePolicy",
                "iot:CreateThing",
                "iot:DescribeEndpoint",
                "iot:GetPolicy"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "lambda:GetFunction"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "greengrass:CreateCoreDefinition",
                "greengrass:CreateDeployment",
                "greengrass:CreateDeviceDefinition",
                "greengrass:CreateFunctionDefinition",
                "greengrass:CreateGroup",
                "greengrass:CreateGroupVersion",
                "greengrass:CreateLoggerDefinition",
                "greengrass:CreateSubscriptionDefinition",
                "greengrass:GetDeploymentStatus",
                "greengrass:UpdateGroupCertificateConfiguration",
                "greengrass:CreateGroupCertificateAuthority",
                "greengrass:GetGroupCertificateAuthority",
                "greengrass:ListGroupCertificateAuthorities",
                "greengrass:ListDeployments", 
                "greengrass:GetGroup", 
                "greengrass:GetGroupVersion", 
                "greengrass:GetCoreDefinitionVersion"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Ejemplo 4: Política de confianza y de permisos de rol esperados

La siguiente política de permisos de rol esperados es necesaria para que la utilice un rol de servicio existente. Se configura una sola vez.


{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Effect": "Allow",
            "Action": "sns:Publish",
            "Resource": ["[[snsArn]]"]
        },
        {
            "Effect": "Allow",
            "Action":
            [
                "cloudwatch:ListMetrics",
                "cloudwatch:GetMetricData",
                "cloudwatch:PutMetricData"
            ],
            "Resource":
            [
                "*"
            ],
            "Condition": {
                    "StringEquals": {
                        "cloudwatch:namespace": "AWS/SnowFamily"
                    }
            }
        }
    ]
}

La siguiente política de confianza de rol esperado es necesaria para que la utilice un rol de servicio existente. Se configura una sola vez.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "importexport.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

AWS Snowball Permisos de API: referencia de acciones, recursos y condiciones

Cuando configure El control de acceso en el Nube de AWS y escriba una política de permisos que se pueda asociar a una identidad de IAM (políticas basadas en identidad), puede utilizar la siguiente tabla como referencia. La siguiente tabla cada operación de la API de administración de AWS Snowball trabajos y las acciones correspondientes para las que puedes conceder permisos para realizar la acción. También incluye, para cada operación de API, el AWS recurso para el que puedes conceder los permisos. Las acciones se especifican en el campo Action de la política y el valor del recurso se especifica en el campo Resource de la política.

Puedes usar claves AWS de condición generales en tus AWS Snowball políticas para expresar las condiciones. Para obtener una lista completa de las claves AWS anchas, consulta las claves disponibles en la Guía del usuario de IAM.

nota

Para especificar una acción, use el prefijo snowball: seguido del nombre de operación de la API (por ejemplo, snowball:CreateJob).

Utilice las barras de desplazamiento para ver el resto de la tabla.

AWS Snowball API de gestión de trabajos y permisos necesarios para las acciones
Acciones de la API de administración de trabajos	Permisos necesarios
CancelCluster	`snowball:CancelCluster`
CancelJob	`snowball:CancelJob`
CreateAddress	`snowball:CreateAddress`
CreateCluster	Esta acción requiere los permisos siguientes: Todos los permisos de la consola en Permisos necesarios para usar la AWS Snowball consola Los permisos adicionales exclusivos de la API en Ejemplo 1: Política de roles que permite a un usuario crear un trabajo para solicitar un dispositivo Snowball Edge con la API `snowball:CreateCluster`
CreateJob	Todos los permisos de la consola en Permisos necesarios para usar la AWS Snowball consola Los permisos adicionales exclusivos de la API en Ejemplo 1: Política de roles que permite a un usuario crear un trabajo para solicitar un dispositivo Snowball Edge con la API `snowball:CreateJob`
DescribeAddress	`snowball:DescribeAddress`
DescribeAddresses	`snowball:DescribeAddresses`
DescribeCluster	`snowball:DescribeCluster`
DescribeJob	`snowball:DescribeJob`
GetJobManifest	`snowball:GetJobManifest`
GetJobUnlockCode	`snowball:GetJobUnlockCode`
GetSnowballUsage	`snowball:GetSnowballUsage`
ListClusterJobs	`snowball:ListClusterJobs`
ListClusters	`snowball:ListClusters`
ListJobs	`snowball:ListJobs`
UpdateCluster	`snowball:UpdateCluster`
UpdateJob	`snowball:UpdateJob`

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Uso de políticas basadas en identidades (políticas de IAM)

Registro y supervisión