Control de acceso para la consola de Snow Family y creación de trabajos - AWS Snowball Edge Guía para desarrolladores
Información general sobre la administración del accesoAWS-Políticas gestionadas (predefinidas) para Edge AWS Snowball

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Control de acceso para la consola de Snow Family y creación de trabajos

Como ocurre con todos los AWS servicios, el acceso AWS Snowball requiere credenciales que AWS pueda utilizar para autenticar sus solicitudes. Esas credenciales deben tener permisos para acceder a AWS los recursos, como un bucket de Amazon S3 o una AWS Lambda función. AWS Snowball se diferencia de dos maneras:

  1. Los trabajos en AWS Snowball no tienen nombres de recursos de Amazon (ARNs).

  2. El control de acceso a la red y físico de un dispositivo en las instalaciones es responsabilidad del usuario.

Consulte Identity and Access Management para AWS Snow Family para obtener más información sobre cómo puede utilizar AWS Identity and Access Management (IAM) y cómo ayudar AWS Snowball a proteger sus recursos controlando quién puede acceder a ellos en las Nube de AWS recomendaciones de control de acceso local y también sobre cómo ayudar a proteger sus recursos.

Descripción general de la gestión de los permisos de acceso a sus recursos en el Nube de AWS

Cada AWS recurso es propiedad de un Cuenta de AWS, y los permisos para crear o acceder a un recurso se rigen por políticas de permisos. Un administrador de cuentas puede adjuntar políticas de permisos a las IAM identidades (es decir, usuarios, grupos y roles), y algunos servicios (por ejemplo AWS Lambda) también permiten adjuntar políticas de permisos a los recursos.

nota

Un administrador de cuentas (o usuario administrador) es un usuario que tiene privilegios de administrador. Para obtener más información, consulte las prácticas IAM recomendadas en la Guía del IAM usuario.

Recursos y operaciones

En AWS Snowball, el recurso principal es un trabajo. AWS Snowball también tiene dispositivos como el Snowball y el AWS Snowball Edge dispositivo, sin embargo, solo puedes usar esos dispositivos en el contexto de un trabajo existente. Los buckets de Amazon S3 y las funciones de Lambda son recursos de Amazon S3 y Lambda, respectivamente.

Como se mencionó anteriormente, los trabajos no tienen nombres de recursos de Amazon (ARNs) asociados. Sin embargo, los recursos de otros servicios, como los buckets de Amazon S3, tienen unique (ARNs) asociado a ellos, como se muestra en la siguiente tabla.

Tipo de recurso ARNFormato
Bucket de S3 arn:aws:s3:region:account-id:BucketName/ObjectName

AWS Snowball proporciona un conjunto de operaciones para crear y gestionar trabajos. Para obtener una lista de las operaciones disponibles, consulte la AWS Snowball APIReferencia.

Titularidad de los recursos

Cuenta de AWS Es propietario de los recursos que se crean en la cuenta, independientemente de quién los haya creado. En concreto, el propietario del recurso es el Cuenta de AWS de la entidad principal (es decir, la cuenta raíz, un IAM usuario o un IAM rol) que autentica la solicitud de creación del recurso. Los siguientes ejemplos ilustran cómo funciona:

  • Si usa las credenciales de su cuenta raíz Cuenta de AWS para crear un bucket de S3, Cuenta de AWS es el propietario del recurso (en AWS Snowball, el recurso es la tarea).

  • Si crea un IAM usuario en su cuenta Cuenta de AWS y le concede permisos para crear un trabajo para solicitar un dispositivo de la familia Snow, el usuario puede crear una tarea para solicitar un dispositivo de la familia Snow. Sin embargo, usted Cuenta de AWS, al que pertenece el usuario, es el propietario del recurso de trabajo.

  • Si crea un IAM rol Cuenta de AWS con permisos para crear un trabajo, cualquier persona que pueda asumir el rol puede crear un trabajo para solicitar un dispositivo de la familia Snow. Usted Cuenta de AWS, al que pertenece el rol, es el propietario del recurso de trabajo.

Administrar el acceso a los recursos en el Nube de AWS

Una política de permisos describe quién tiene acceso a qué. En la siguiente sección se explican las opciones disponibles para crear políticas de permisos.

nota

En esta sección se analiza el uso IAM en el contexto de AWS Snowball. No proporciona información detallada sobre el IAM servicio. Para obtener IAM la documentación completa, consulte ¿Qué esIAM? en la Guía IAM del usuario. Para obtener información sobre IAM la sintaxis y las descripciones de las AWS IAMpolíticas, consulte la referencia de políticas en la Guía del IAM usuario.

Las políticas asociadas a una IAM identidad se denominan políticas basadas en la identidad (IAMpolíticas) y las políticas asociadas a un recurso se denominan políticas basadas en recursos. AWS Snowball solo admite políticas basadas en la identidad (políticas). IAM

Políticas basadas en recursos

Otros servicios, como Amazon S3, también admiten políticas de permisos basadas en recursos. Por ejemplo, puede adjuntar una política a un bucket de S3 para administrar los permisos de acceso a ese bucket. AWS Snowball no admite políticas basadas en recursos. 

Especificar elementos de política: acciones, efectos y entidades principales

Para cada trabajo (consulteRecursos y operaciones), el servicio define un conjunto de API operaciones (consulte la AWS Snowball APIReferencia) para crear y administrar dicho trabajo. Para conceder permisos para estas API operaciones, AWS Snowball define un conjunto de acciones que puede especificar en una política. Por ejemplo, en el caso de un trabajo, se definen las acciones siguientes: CreateJob, CancelJob y DescribeJob. Tenga en cuenta que realizar una API operación puede requerir permisos para más de una acción.

A continuación se indican los elementos más básicos de la política:

  • Recurso: en una política, se utiliza un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política. Para obtener más información, consulte Recursos y operaciones.

    nota

    Esto es compatible con Amazon S3, AmazonEC2, AWS Lambda y muchos otros servicios. AWS KMS

    Snowball no admite la especificación de un recurso ARN en el Resource elemento de una declaración de IAM política. Para permitir el acceso a Snowball, especifique “Resource”: “*” en la política.

  • Acción: utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir o denegar. Por ejemplo, en función del elemento especificado para Effect, snowball:* permite o deniega los permisos de usuario para realizar todas las operaciones.

    nota

    Esto es compatible con AmazonEC2, Amazon S3 yIAM.

  • Efecto: especifique el efecto que se producirá cuando el usuario solicite la acción específica; puede ser permitir o denegar. Si no concede acceso de forma explícita (permitir) a un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.

    nota

    Esto es compatible con AmazonEC2, Amazon S3 yIAM.

  • Principal: en las políticas basadas en la identidad (IAMpolíticas), el usuario al que se adjunta la política es el principal implícito. En el caso de las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad para la que desea recibir los permisos (solo se aplica a las políticas basadas en recursos). AWS Snowball no admite políticas basadas en recursos.

Para obtener más información sobre la sintaxis y las descripciones de las IAM políticas, consulte la Referencia AWS IAM de políticas en la Guía del IAMusuario.

Para ver una tabla que muestra todas las AWS Snowball API acciones, consulteAWS Snowball APIReferencia de permisos: acciones, recursos y condiciones.

Especificación de las condiciones de una política

Al conceder permisos, puede utilizar el lenguaje de la IAM política para especificar las condiciones en las que una política debe entrar en vigor. Por ejemplo, es posible que desee que solo se aplique una política después de una fecha específica. Para obtener más información sobre cómo especificar las condiciones en el lenguaje de una política, consulte Condición en la Guía del IAM usuario.

Cómo expresar condiciones, se usan claves de condición predefinidas. No hay claves de condición específicas para AWS Snowball. Sin embargo, hay claves AWS de condición generales que puede utilizar según convenga. Para obtener una lista completa de las claves AWS de ancho, consulte las claves disponibles para las condiciones en la Guía del IAMusuario.

AWS-Políticas gestionadas (predefinidas) para Edge AWS Snowball

AWS aborda muchos casos de uso comunes al proporcionar IAM políticas independientes que son creadas y administradas por. AWS Las políticas administradas conceden los permisos necesarios para casos de uso comunes, lo que le evita tener que investigar los permisos que se necesitan. Para obtener más información, consulte Políticas AWS administradas en la Guía del IAM usuario.

Puede usar las siguientes políticas AWS administradas con AWS Snowball.

Creación de una política de IAM roles para Snowball Edge

Debe crearse una política de IAM roles con permisos de lectura y escritura para sus buckets de Amazon S3. El IAM puesto también debe tener una relación de confianza con Snowball. Tener una relación de confianza significa que AWS puede escribir los datos en Snowball y en sus buckets de Amazon S3, en función de si está importando o exportando datos.

Al crear un trabajo para solicitar un dispositivo de la familia Snow Consola de administración de la familia de productos Snow de AWS, la creación del IAM rol necesario se realiza en el paso 4 de la sección de permisos. Este proceso es automático. La IAM función que permitas que asuma Snowball solo se usa para escribir tus datos en tu bucket cuando llega la bola de nieve con los datos transferidos. AWS A continuación se describe ese proceso.

Para crear el IAM rol para su trabajo de importación

  1. Inicie sesión en AWS Management Console y abra la AWS Snowball consola en https://console.aws.amazon.com/importexport/.

  2. Seleccione Crear trabajo.

  3. En el primer paso, rellene los detalles del trabajo de importación en Amazon S3 y, a continuación, elija Siguiente.

  4. En el segundo paso, en Permiso, selecciona IAMCrear/seleccionar rol.

    Se abre la consola de IAM administración y muestra la IAM función que se AWS utiliza para copiar objetos en los buckets de Amazon S3 especificados.

  5. Revise los detalles de esta página y elija Permitir.

    Vuelve a Consola de administración de la familia de productos Snow de AWS, donde el IAMrol seleccionado ARN contiene el nombre del recurso de Amazon (ARN) del IAM rol que acaba de crear.

  6. Seleccione Siguiente para terminar de crear el IAM rol.

El procedimiento anterior crea un IAM rol que tiene permisos de escritura para los buckets de Amazon S3 a los que planea importar sus datos. El IAM rol que se crea tiene una de las siguientes estructuras, en función de si se trata de un trabajo de importación o de exportación.

IAMFunción para un trabajo de importación


          {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListBucketMultipartUploads"
      ],
      "Resource": "arn:aws:s3:::*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketPolicy",
        "s3:PutObject",
        "s3:AbortMultipartUpload",
        "s3:ListMultipartUploadParts",
        "s3:PutObjectAcl",
        "s3:ListBucket",
        "s3:HeadBucket"
      ],
      "Resource": "arn:aws:s3:::*"
    }
  ]
}

Si utiliza el cifrado del lado del servidor con AWS KMS claves administradas (SSE-KMS) para cifrar los buckets de Amazon S3 asociados a su trabajo de importación, también debe añadir la siguiente declaración a su función. IAM

{
     "Effect": "Allow",
     "Action": [
       "kms:GenerateDataKey"
     ],
     "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}

Si los tamaños de objeto son mayores, el cliente de Amazon S3 que se utiliza para el proceso de importación utiliza la carga multiparte. Si inicia una carga de varias partes con SSE -KMS, todas las partes cargadas se cifran con la clave especificada. AWS KMS Como las partes están cifradas, deben descifrarse para que puedan montarse para completar la carga multiparte. Por lo tanto, debe tener permiso para descifrar la AWS KMS clave (kms:Decrypt) cuando ejecute una carga multiparte en Amazon S3 con SSE -. KMS

El siguiente es un ejemplo de un IAM rol necesario para un trabajo de importación que necesita kms:Decrypt permiso.

{
    "Effect": "Allow",
     "Action": [
       "kms:GenerateDataKey","kms:Decrypt"

     ],
     "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}

El siguiente es un ejemplo de un IAM rol necesario para un trabajo de exportación.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:GetBucketPolicy",
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": "arn:aws:s3:::*"
    }
  ]
}

Si utiliza el cifrado del lado del servidor con AWS KMS claves administradas para cifrar los buckets de Amazon S3 asociados a su trabajo de exportación, también debe añadir la siguiente declaración a su función. IAM

{
     "Effect": "Allow",
     "Action": [
            “kms:Decrypt”
      ],
     "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}

Puede crear sus propias IAM políticas personalizadas para conceder permisos a las operaciones de administración de API trabajos. AWS Snowball Puede adjuntar estas políticas personalizadas a los IAM usuarios o grupos que requieran esos permisos.