Uso IAM local en un dispositivo de la familia Snow - AWS Snowball Edge Guía para desarrolladores
Uso de las operaciones AWS CLI y APIComandos compatibles IAM AWS CLI IAMejemplos de políticas en los dispositivos de la familia SnowTrustPolicy ejemplo en un dispositivo de la familia Snow

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso IAM local en un dispositivo de la familia Snow

AWS Identity and Access Management (IAM) te ayuda a controlar de forma segura el acceso a AWS los recursos que se ejecutan en tu AWS Snowball Edge dispositivo. Se utiliza IAM para controlar quién está autenticado (ha iniciado sesión) y quién está autorizado (tiene permisos) para usar los recursos.

IAMes compatible de forma local en tu dispositivo. Puede utilizar el IAM servicio local para crear nuevos usuarios y IAM adjuntarles políticas. Puede utilizar estas políticas para permitir el acceso necesario para realizar tareas asignadas. Por ejemplo, puedes dar a un usuario la posibilidad de transferir datos, pero limitar su capacidad de crear nuevas instancias EC2 compatibles con Amazon.

Además, puede crear credenciales locales basadas en sesiones utilizando AWS Security Token Service (AWS STS) en su dispositivo. Para obtener información sobre el IAM servicio, consulte Primeros pasos en la Guía del IAMusuario.

Las credenciales raíz de tu dispositivo no se pueden deshabilitar y no puedes usar las políticas de tu cuenta para denegar explícitamente el acceso al usuario Cuenta de AWS raíz. Te recomendamos que protejas las claves de acceso del usuario root y crees credenciales de IAM usuario para la interacción diaria con el dispositivo.

importante

La documentación de esta sección se aplica al uso IAM local en un dispositivo AWS Snowball Edge. Para obtener información sobre el uso IAM en el Nube de AWS, consulteIdentity and Access Management en AWS Snowball.

Para que AWS los servicios funcionen correctamente en un Snowball Edge, debe permitir los puertos para los servicios. Para obtener más información, consulte Requisitos de puerto para los AWS servicios en un dispositivo de la familia Snow.

Uso de las API operaciones AWS CLI y en Snowball Edge

Al utilizar las API operaciones AWS CLI o para emitir los EC2 comandos IAM AWS STS, Amazon S3 y Amazon en Snowball Edge, debe especificar «»snow. region Puede hacerlo utilizando aws configure o dentro del propio comando, como en los ejemplos siguientes.


aws configure --profile abc
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: 1234567
Default region name [None]: snow
Default output format [None]: json

Or (Disyunción)


aws iam list-users --profile snowballEdge --endpoint http://192.0.2.0:6078 --region snow
nota

El identificador de la clave de acceso y la clave secreta de acceso que se utilizan localmente en AWS Snowball Edge no se pueden intercambiar con las claves del Nube de AWS.

Lista de IAM AWS CLI comandos compatibles en un Snowball Edge

A continuación se describe el subconjunto de AWS CLI comandos y opciones compatibles con los dispositivos Snowball Edge. IAM Si un comando o una opción no aparece en la lista siguiente, no está admitido. En la descripción se indican los parámetros no admitidos para los comandos.

  • attach-role-policy— Adjunta la política gestionada especificada a la función especificada. IAM

  • attach-user-policy— Adjunta la política gestionada especificada al usuario especificado.

  • create-access-key— Crea una nueva clave de acceso IAM secreta local y el ID de clave de AWS acceso correspondiente para el usuario especificado.

  • create-policy: crea una nueva política IAM gestionada para el dispositivo.

  • create-role: crea un nuevo IAM rol local para el dispositivo. Los siguientes parámetros no se admiten:

    • Tags

    • PermissionsBoundary

  • create-user: crea un nuevo IAM usuario local para el dispositivo. Los siguientes parámetros no se admiten:

    • Tags

    • PermissionsBoundary

  • delete-access-key— Elimina una nueva clave de acceso IAM secreta local y el ID de clave de AWS acceso correspondiente para el usuario especificado.

  • delete-policy: elimina la política administrada especificada.

  • delete-role: elimina el rol especificado.

  • delete-user: elimina el usuario especificado.

  • detach-role-policy— Elimina la política gestionada especificada del rol especificado.

  • detach-user-policy— Elimina la política gestionada especificada del usuario especificado.

  • get-policy: recupera información sobre la política administrada especificada, incluida la versión predeterminada de la política y el número total de IAM usuarios, grupos y roles locales a los que está asociada la política.

  • get-policy-version— Recupera información sobre la versión especificada de la política administrada especificada, incluido el documento de política.

  • get-role: recupera información sobre el rol especificado, incluida la ruta del rol GUIDARN, y la política de confianza del rol que otorga permiso para asumir el rol.

  • get-user: recupera información sobre el usuario especificado, incluida la fecha de creación del IAM usuario, la ruta, el identificador único y. ARN

  • list-access-keys— Devuelve información sobre la clave de acceso IDs asociada al usuario especificado. IAM

  • list-attached-role-policies— Muestra todas las políticas gestionadas asociadas a la IAM función especificada.

  • list-attached-user-policies— Muestra todas las políticas administradas que están asociadas al IAM usuario especificado.

  • list-entities-for-policy— Muestra todos IAM los usuarios, grupos y funciones locales a los que está asociada la política gestionada especificada.

    • --EntityFilter: solo se admiten los valores user y role.

  • list-policies: enumera todas las políticas administradas que están disponibles en su Cuenta de AWS local. El siguiente parámetro no se admite:

    • --PolicyUsageFilter

  • list-roles: muestra los IAM roles locales que tienen el prefijo de ruta especificado.

  • list-users: muestra los IAM usuarios que tienen el prefijo de ruta especificado.

  • update-access-key— Cambia el estado de la clave de acceso especificada de Activa a Inactiva o viceversa.

  • update-assume-role-policy— Actualiza la política que concede a una IAM entidad el permiso para asumir un rol.

  • update-role: actualiza la descripción o la configuración de duración máxima de la sesión de un rol.

  • update-user: actualiza el nombre o la ruta del usuario especificadoIAM.

IAMAPIOperaciones compatibles con los dispositivos de la familia Snow

A continuación se IAM API muestran las operaciones que puede utilizar con un Snowball Edge, con enlaces a sus descripciones en la IAM API Referencia.

  • AttachRolePolicy— Adjunta la política gestionada especificada a la función especificadaIAM.

  • AttachUserPolicy— Adjunta la política gestionada especificada al usuario especificado.

  • CreateAccessKey— Crea una nueva clave de acceso IAM secreta local y el ID de clave de AWS acceso correspondiente para el usuario especificado.

  • CreatePolicy— Crea una nueva política IAM gestionada para su dispositivo.

  • CreateRole— Crea un nuevo IAM rol local para tu dispositivo.

  • CreateUser— Crea un nuevo IAM usuario local para tu dispositivo.

    Los siguientes parámetros no se admiten:

    • Tags

    • PermissionsBoundary

  • DeleteAccessKey— Elimina la clave de acceso especificada.

  • DeletePolicy— Elimina la política gestionada especificada.

  • DeleteRole— Elimina el rol especificado.

  • DeleteUser— Elimina el usuario especificado.

  • DetachRolePolicy— Elimina la política gestionada especificada del rol especificado.

  • DetachUserPolicy— Elimina la política gestionada especificada del usuario especificado.

  • GetPolicy— Recupera información sobre la política administrada especificada, incluida la versión predeterminada de la política y el número total de IAM usuarios, grupos y roles locales a los que está asociada la política.

  • GetPolicyVersion— Recupera información sobre la versión especificada de la política administrada especificada, incluido el documento de política.

  • GetRole— Recupera información sobre el rol especificado, incluida la ruta del rol GUIDARN, y la política de confianza del rol que otorga permiso para asumir el rol.

  • GetUser— Recupera información sobre el IAM usuario especificado, incluida la fecha de creación del usuario, la ruta, el identificador único y. ARN

  • ListAccessKeys— Devuelve información sobre la clave de acceso IDs asociada al IAM usuario especificado.

  • ListAttachedRolePolicies— Muestra todas las políticas gestionadas asociadas a la IAM función especificada.

  • ListAttachedUserPolicies— Muestra todas las políticas administradas que están asociadas al IAM usuario especificado.

  • ListEntitiesForPolicy— Recupera información sobre el IAM usuario especificado, incluida la fecha de creación del usuario, la ruta, el identificador único yARN.

    • --EntityFilter: solo se admiten los valores user y role.

  • ListPolicies— Enumera todas las políticas gestionadas que están disponibles en su local Cuenta de AWS. El siguiente parámetro no se admite:

    • --PolicyUsageFilter

  • ListRoles— Muestra las IAM funciones locales que tienen el prefijo de ruta especificado.

  • ListUsers— Muestra los IAM usuarios que tienen el prefijo de ruta especificado.

  • UpdateAccessKey— Cambia el estado de la clave de acceso especificada de Activa a Inactiva o viceversa.

  • UpdateAssumeRolePolicy— Actualiza la política que concede a una IAM entidad el permiso para asumir un rol.

  • UpdateRole— Actualiza la descripción o la configuración de duración máxima de la sesión de un rol.

  • UpdateUser— Actualiza el nombre o la ruta del IAM usuario especificado.

La versión IAM de la política y la gramática compatibles con los dispositivos de la familia Snow

A continuación se presenta la versión de IAM soporte local 2012-10-17 de la IAM política y un subconjunto de la gramática de la política.

Tipo de política Gramática compatible
Políticas basadas en la identidad (política de usuario/rol) "Effect", "Action" y "Resource"
nota

Local IAM no admite "Condition«,"» NotAction y NotResource "». Principal

Políticas basadas en recursos (política de confianza de roles) "Effect", "Action" y "Principal"
nota

Para el principal, solo se permite la Cuenta de AWS identificación o la identificación principal.

IAMejemplos de políticas en los dispositivos de la familia Snow

nota

AWS Identity and Access Management (IAM) los usuarios necesitan "snowballdevice:*" permisos para usar la AWS OpsHub for Snow Family aplicación y administrar los dispositivos de la familia Snow.

A continuación se muestran ejemplos de políticas que conceden permisos para un dispositivo Snowball Edge.

Permitir la GetUser llamada a un usuario de muestra desde un dispositivo de la familia Snow a través del IAM API

Utilice la siguiente política para permitir la GetUser llamada de un usuario de muestra a través del IAMAPI.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "iam:GetUser",
            "Resource": "arn:aws:iam:::user/example-user"
        }
    ]
}

Permitir el acceso total a Amazon S3 API en un dispositivo de la familia Snow

Utilice la siguiente política para permitir el acceso total a Amazon S3API.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": "*"
            
        }
    ]
}

Permitir el acceso de lectura y escritura a un bucket de Amazon S3 en un dispositivo de la familia Snow

Utilice la siguiente política para permitir el acceso de lectura y escritura a un bucket específico.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::bucket-name"
        },
        {
            "Sid": "AllObjectActions",
            "Effect": "Allow",
            "Action": "s3:*Object",
            "Resource": "arn:aws:s3:::bucket-name/*"
        }
    ]
}

Permitir el acceso a listas, obtener y colocar un bucket de Amazon S3 en un dispositivo de la familia Snow

Utilice la siguiente política para permitir el acceso List, Get y Put para un bucket específico de S3.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:List*"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}

Permitir el acceso total a Amazon EC2 API en un dispositivo de la familia Snow

Usa la siguiente política para permitir el acceso total a AmazonEC2.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:*",
            "Resource": "*"
        }
    ]
}

Permitir el acceso para iniciar y detener instancias EC2 compatibles con Amazon en un dispositivo de la familia Snow

Usa la siguiente política para permitir el acceso para iniciar y detener EC2 instancias de Amazon.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*"
        }
    ]
}

Rechazar llamadas DescribeLaunchTemplates pero permitir todas las llamadas DescribeImages desde un dispositivo Snow Family

Utilice la siguiente política para denegar las llamadas a DescribeLaunchTemplates pero permitir todas las llamadas a DescribeImages.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ec2:DescribeLaunchTemplates"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages"
            ],
            "Resource": "*"
        }
    ]
}

Política de API llamadas desde un dispositivo de la familia Snow

Enumera todas las políticas administradas que están disponibles en su dispositivo Snow, incluidas sus propias políticas administradas definidas por el cliente. Hay más información disponible al respecto en list-policies.

aws iam list-policies --endpoint http://ip-address:6078 --profile snowballEdge --region snow
{
    "Policies": [
        {
            "PolicyName": "Administrator",
            "Description": "Root user admin policy for Account 123456789012",
            "CreateDate": "2020-03-04T17:44:59.412Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "policy-id",
            "DefaultVersionId": "v1",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:policy/Administrator",
            "UpdateDate": "2020-03-04T19:10:45.620Z"
        }
    ]
}

TrustPolicy ejemplo en un dispositivo de la familia Snow

Una política de confianza devuelve un conjunto de credenciales de seguridad temporales que puede utilizar para acceder a AWS recursos a los que normalmente no tendría acceso. Las credenciales temporales incluyen un ID de clave de acceso, una clave de acceso secreta y un token de seguridad. Normalmente, se utiliza AssumeRole en la cuenta para el acceso entre cuentas.

A continuación, se muestra un ejemplo de una política de confianza. Para obtener más información sobre la política de confianza, consulte AssumeRolela AWS Security Token Service APIReferencia.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::AccountId:root" //You can use the Principal ID instead of the account ID. 
                ]
            },
            "Action": [
                "sts:AssumeRole"
            ]
        }
    ]
}