Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos de políticas administradas por el cliente
En esta sección, encontrará ejemplos de políticas de usuario que otorgan permisos para diversas acciones de administración de AWS Snowball trabajos. Estas políticas funcionan cuando se utiliza AWS SDKs o el AWS CLI. Cuando se utiliza la consola, debe conceder permisos adicionales específicos a la consola, tal y como se explica en Permisos necesarios para usar la AWS Snowball consola.
nota
Todos los ejemplos utilizan la región us-west-2 y contienen un relato ficticio. IDs
Ejemplos
- Ejemplo 1: Política de roles que permite a un usuario crear un trabajo para solicitar un dispositivo Snowball Edge con la API
- Ejemplo 2: Política de roles para crear trabajos de importación
- Ejemplo 3: Política de roles para crear trabajos de exportación
- Ejemplo 4: Política de confianza y de permisos de rol esperados
- AWS Snowball Permisos de API: referencia de acciones, recursos y condiciones
Ejemplo 1: Política de roles que permite a un usuario crear un trabajo para solicitar un dispositivo Snowball Edge con la API
La política de permisos siguiente es un componente necesario de cualquier política que se utiliza para conceder permisos de creación de trabajos o clústeres con la API de administración de trabajos. La declaración es necesaria como declaración de política de relaciones de confianza para el rol de IAM de Snowball.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "importexport.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Ejemplo 2: Política de roles para crear trabajos de importación
Utilice la siguiente política de confianza de roles para crear trabajos de importación para Snowball Edge que utilicen AWS Lambda powered by AWS IoT Greengrass functions.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucketMultipartUploads" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "s3:GetBucketPolicy", "s3:GetBucketLocation", "s3:ListBucketMultipartUploads", "s3:ListBucket", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts", "s3:PutObjectAcl", "s3:GetObject" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CreateKeysAndCertificate", "iot:CreatePolicy", "iot:CreateThing", "iot:DescribeEndpoint", "iot:GetPolicy" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetFunction" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "greengrass:CreateCoreDefinition", "greengrass:CreateDeployment", "greengrass:CreateDeviceDefinition", "greengrass:CreateFunctionDefinition", "greengrass:CreateGroup", "greengrass:CreateGroupVersion", "greengrass:CreateLoggerDefinition", "greengrass:CreateSubscriptionDefinition", "greengrass:GetDeploymentStatus", "greengrass:UpdateGroupCertificateConfiguration", "greengrass:CreateGroupCertificateAuthority", "greengrass:GetGroupCertificateAuthority", "greengrass:ListGroupCertificateAuthorities", "greengrass:ListDeployments", "greengrass:GetGroup", "greengrass:GetGroupVersion", "greengrass:GetCoreDefinitionVersion" ], "Resource": [ "*" ] } ] }
Ejemplo 3: Política de roles para crear trabajos de exportación
Utilice la siguiente política de confianza de roles para crear trabajos de exportación para Snowball Edge que utilicen AWS Lambda powered by AWS IoT Greengrass functions.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CreateKeysAndCertificate", "iot:CreatePolicy", "iot:CreateThing", "iot:DescribeEndpoint", "iot:GetPolicy" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetFunction" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "greengrass:CreateCoreDefinition", "greengrass:CreateDeployment", "greengrass:CreateDeviceDefinition", "greengrass:CreateFunctionDefinition", "greengrass:CreateGroup", "greengrass:CreateGroupVersion", "greengrass:CreateLoggerDefinition", "greengrass:CreateSubscriptionDefinition", "greengrass:GetDeploymentStatus", "greengrass:UpdateGroupCertificateConfiguration", "greengrass:CreateGroupCertificateAuthority", "greengrass:GetGroupCertificateAuthority", "greengrass:ListGroupCertificateAuthorities", "greengrass:ListDeployments", "greengrass:GetGroup", "greengrass:GetGroupVersion", "greengrass:GetCoreDefinitionVersion" ], "Resource": [ "*" ] } ] }
Ejemplo 4: Política de confianza y de permisos de rol esperados
La siguiente política de permisos de rol esperados es necesaria para que la utilice un rol de servicio existente. Se configura una sola vez.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sns:Publish", "Resource": ["[[snsArn]]"] }, { "Effect": "Allow", "Action": [ "cloudwatch:ListMetrics", "cloudwatch:GetMetricData", "cloudwatch:PutMetricData" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/SnowFamily" } } } ] }
La siguiente política de confianza de rol esperado es necesaria para que la utilice un rol de servicio existente. Se configura una sola vez.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "importexport.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
AWS Snowball Permisos de API: referencia de acciones, recursos y condiciones
Cuando configure El control de acceso en el Nube de AWS y escriba una política de permisos que se pueda asociar a una identidad de IAM (políticas basadas en identidad), puede utilizar la siguiente tabla como referencia. La siguiente tabla cada operación de la API de administración de AWS Snowball trabajos y las acciones correspondientes para las que puedes conceder permisos para realizar la acción. También incluye, para cada operación de API, el AWS recurso para el que puedes conceder los permisos. Las acciones se especifican en el campo Action
de la política y el valor del recurso se especifica en el campo Resource
de la política.
Puedes usar claves AWS de condición generales en tus AWS Snowball políticas para expresar las condiciones. Para obtener una lista completa de las claves AWS anchas, consulta las claves disponibles en la Guía del usuario de IAM.
nota
Para especificar una acción, use el prefijo snowball:
seguido del nombre de operación de la API (por ejemplo, snowball:CreateJob
).
Utilice las barras de desplazamiento para ver el resto de la tabla.