Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos de políticas administradas por el cliente
En esta sección, encontrará ejemplos de políticas de usuario que otorgan permisos para diversas acciones de administración de AWS Snowball trabajos. Estas políticas funcionan cuando se utiliza AWS SDKs o el AWS CLI. Cuando se utiliza la consola, debe conceder permisos adicionales específicos a la consola, tal y como se explica en Permisos necesarios para usar la AWS Snowball consola.
nota
Todos los ejemplos utilizan la región us-west-2 y contienen un relato ficticio. IDs
Ejemplos
- Ejemplo 1: Política de roles que permite a un usuario crear un trabajo para solicitar un dispositivo de la familia Snow con API
- Ejemplo 2: Política de roles para crear trabajos de importación
- Ejemplo 3: Política de roles para crear trabajos de exportación
- Ejemplo 4: Política de confianza y de permisos de rol esperados
- AWS Snowball APIReferencia de permisos: acciones, recursos y condiciones
Ejemplo 1: Política de roles que permite a un usuario crear un trabajo para solicitar un dispositivo de la familia Snow con API
La siguiente política de permisos es un componente necesario de cualquier política que se utilice para conceder permisos de creación de trabajos o clústeres mediante la administración de trabajosAPI. La declaración es necesaria como declaración de política de relaciones de confianza para el papel de SnowballIAM.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "importexport.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Ejemplo 2: Política de roles para crear trabajos de importación
Utilice la siguiente política de confianza de roles para crear trabajos de importación para Snowball Edge que utilicen AWS Lambda powered by AWS IoT Greengrass functions.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucketMultipartUploads" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "s3:GetBucketPolicy", "s3:GetBucketLocation", "s3:ListBucketMultipartUploads", "s3:ListBucket", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts", "s3:PutObjectAcl", "s3:GetObject" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CreateKeysAndCertificate", "iot:CreatePolicy", "iot:CreateThing", "iot:DescribeEndpoint", "iot:GetPolicy" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetFunction" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "greengrass:CreateCoreDefinition", "greengrass:CreateDeployment", "greengrass:CreateDeviceDefinition", "greengrass:CreateFunctionDefinition", "greengrass:CreateGroup", "greengrass:CreateGroupVersion", "greengrass:CreateLoggerDefinition", "greengrass:CreateSubscriptionDefinition", "greengrass:GetDeploymentStatus", "greengrass:UpdateGroupCertificateConfiguration", "greengrass:CreateGroupCertificateAuthority", "greengrass:GetGroupCertificateAuthority", "greengrass:ListGroupCertificateAuthorities", "greengrass:ListDeployments", "greengrass:GetGroup", "greengrass:GetGroupVersion", "greengrass:GetCoreDefinitionVersion" ], "Resource": [ "*" ] } ] }
Ejemplo 3: Política de roles para crear trabajos de exportación
Utilice la siguiente política de confianza de roles para crear trabajos de exportación para Snowball Edge que utilicen AWS Lambda powered by AWS IoT Greengrass functions.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CreateKeysAndCertificate", "iot:CreatePolicy", "iot:CreateThing", "iot:DescribeEndpoint", "iot:GetPolicy" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetFunction" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "greengrass:CreateCoreDefinition", "greengrass:CreateDeployment", "greengrass:CreateDeviceDefinition", "greengrass:CreateFunctionDefinition", "greengrass:CreateGroup", "greengrass:CreateGroupVersion", "greengrass:CreateLoggerDefinition", "greengrass:CreateSubscriptionDefinition", "greengrass:GetDeploymentStatus", "greengrass:UpdateGroupCertificateConfiguration", "greengrass:CreateGroupCertificateAuthority", "greengrass:GetGroupCertificateAuthority", "greengrass:ListGroupCertificateAuthorities", "greengrass:ListDeployments", "greengrass:GetGroup", "greengrass:GetGroupVersion", "greengrass:GetCoreDefinitionVersion" ], "Resource": [ "*" ] } ] }
Ejemplo 4: Política de confianza y de permisos de rol esperados
La siguiente política de permisos de rol esperados es necesaria para que la utilice un rol de servicio existente. Se configura una sola vez.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sns:Publish", "Resource": ["[[snsArn]]"] }, { "Effect": "Allow", "Action": [ "cloudwatch:ListMetrics", "cloudwatch:GetMetricData", "cloudwatch:PutMetricData" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/SnowFamily" } } } ] }
La siguiente política de confianza de rol esperado es necesaria para que la utilice un rol de servicio existente. Se configura una sola vez.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "importexport.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
AWS Snowball APIReferencia de permisos: acciones, recursos y condiciones
Al configurar Control de acceso en el Nube de AWS y redactar una política de permisos que pueda adjuntar a una IAM identidad (políticas basadas en la identidad), puede utilizar la siguiente de tablas como referencia. La siguiente tabla cada API operación de administración de AWS Snowball trabajos y las acciones correspondientes para las que puede conceder permisos para realizar la acción. También incluye para cada API operación el AWS recurso para el que puede conceder los permisos. Las acciones se especifican en el campo Action de la política y el valor del recurso se especifica en el campo Resource de la política.
Puede utilizar claves AWS de condición generales en sus AWS Snowball políticas para expresar las condiciones. Para obtener una lista completa de las claves AWS anchas, consulta las claves disponibles en la Guía del IAMusuario.
nota
Para especificar una acción, utilice el snowball: prefijo seguido del nombre de la API operación (por ejemplo,snowball:CreateJob).
Utilice las barras de desplazamiento para ver el resto de la tabla.
