Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour AWS Storage Gateway
AWS Storage Gateway (préfixe de service :storagegateway) fournit les ressources, actions et clés contextuelles de condition spécifiques au service suivantes à utiliser dans IAM les politiques d'autorisation.
Références :
-
Découvrez comment configurer ce service.
-
Consultez la liste des APIopérations disponibles pour ce service.
-
Découvrez comment sécuriser ce service et ses ressources à l'aide de politiques IAM d'autorisation.
Rubriques
Actions définies par AWS Storage Gateway
Vous pouvez spécifier les actions suivantes dans l'Actionélément d'une déclaration de IAM politique. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'APIopération ou à la CLI commande portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez spécifier un type ARN de ressource de ce type dans une instruction comportant cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément d'une IAM politique, vous devez inclure un modèle ARN ou pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
| Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
|---|---|---|---|---|---|
| ActivateGateway | Accorde l'autorisation d'activer la passerelle que vous avez précédemment déployée sur votre hôte | Écriture | |||
| AddCache | Accorde l'autorisation de configurer un ou plusieurs disques locaux de passerelle en tant que cache pour une passerelle à volume mis en cache | Écriture | |||
| AddTagsToResource | Accorde l'autorisation d'ajouter une ou plusieurs identifications à la ressource spécifiée | Balisage | |||
| AddUploadBuffer | Accorde l'autorisation de configurer un ou plusieurs disques locaux de passerelle en tant que tampon de chargement pour une passerelle spécifiée | Écriture | |||
| AddWorkingStorage | Accorde l'autorisation de configurer un ou plusieurs disques locaux de passerelle en tant que stockage de traitement pour une passerelle | Écriture | |||
| AssignTapePool | Accorde l'autorisation de déplacer une bande vers le groupe cible spécifié | Écrire | |||
| AssociateFileSystem | Accorde l'autorisation d'associer un système de FSx fichiers Amazon à la passerelle de FSx fichiers Amazon | Écrire |
ds:DescribeDirectories ec2:DescribeNetworkInterfaces fsx:DescribeFileSystems iam:CreateServiceLinkedRole logs:CreateLogDelivery logs:GetLogDelivery logs:ListLogDeliveries logs:UpdateLogDelivery |
||
| AttachVolume | Accorde l'autorisation de connecter un volume à une SCSI connexion i, puis attache le volume à la passerelle spécifiée | Écrire | |||
| BypassGovernanceRetention | Accorde l'autorisation de contourner le verrou de rétention de gouvernance sur un groupe | Écrire | |||
| CancelArchival | Autorise l'annulation de l'archivage d'une bande virtuelle sur l'étagère à bandes virtuelle (VTS) une fois le processus d'archivage lancé | Écrire | |||
| CancelRetrieval | Autorise l'annulation de la récupération d'une bande virtuelle depuis l'étagère à bandes virtuelle (VTS) vers une passerelle après le lancement du processus de récupération | Écrire | |||
| CreateCachediSCSIVolume | Accorde l'autorisation de créer un volume mis en cache sur une passerelle mise en cache spécifiée Cette opération est uniquement prise en charge pour l'architecture de volumes mis en cache sur la passerelle | Écrire | |||
| CreateNFSFileShare | Accorde l'autorisation de créer un partage de NFS fichiers sur une passerelle de fichiers existante | Écrire | |||
| CreateSMBFileShare | Accorde l'autorisation de créer un partage de SMB fichiers sur une passerelle de fichiers existante | Écrire | |||
| CreateSnapshot | Accorde l'autorisation de lancer un instantané d'un volume | Écriture | |||
| CreateSnapshotFromVolumeRecoveryPoint | Accorde l'autorisation de lancer un instantané d'une passerelle à partir d'un point de récupération de volume | Écriture | |||
| CreateStorediSCSIVolume | Accorde l'autorisation de créer un volume sur une passerelle spécifiée | Écriture | |||
| CreateTapePool | Accorde l'autorisation de créer un groupe de bandes | Écriture | |||
| CreateTapeWithBarcode | Accorde l'autorisation de créer une bande virtuelle à l'aide de votre propre code-barres | Écriture | |||
| CreateTapes | Accorde l'autorisation de créer une ou plusieurs bandes virtuelles. Vous écrivez des données sur les bandes virtuelles, puis vous archivez les bandes | Écrire | |||
| DeleteAutomaticTapeCreationPolicy | Accorde l'autorisation de supprimer la politique de création automatique de bandes configurée sur une passerelle VTL | Écrire | |||
| DeleteBandwidthRateLimit | Accorde l'autorisation de supprimer les limites de débit de bande passante d'une passerelle | Écrire | |||
| DeleteChapCredentials | Accorde l'autorisation de supprimer les informations d'identification du protocole d'authentification Challenge-Handshake (CHAP) pour une paire SCSI cible i et initiateur spécifiée | Écrire | |||
| DeleteFileShare | Accorde l'autorisation de supprimer un partage de fichiers à partir d'une passerelle de fichiers | Écriture | |||
| DeleteGateway | Accorde l'autorisation de supprimer une passerelle | Écriture | |||
| DeleteSnapshotSchedule | Accorde l'autorisation de supprimer un instantané d'un volume | Écriture | |||
| DeleteTape | Accorde l'autorisation de supprimer la bande virtuelle spécifiée | Écrire | |||
| DeleteTapeArchive | Accorde l'autorisation de supprimer la bande virtuelle spécifiée de l'étagère à bandes virtuelle (VTS) | Écrire | |||
| DeleteTapePool | Accorde l'autorisation de supprimer le groupe de bandes spécifié | Écrire | |||
| DeleteVolume | Accorde l'autorisation de supprimer le volume de passerelle spécifié que vous avez créé précédemment à l'aide du CreateCachedi SCSIVolume ou CreateStoredi SCSIVolume API | Écrire | |||
| DescribeAvailabilityMonitorTest | Accorde l'autorisation d'obtenir les informations sur le test de surveillance de haute disponibilité qui a été effectué le plus récemment sur la passerelle | Lecture | |||
| DescribeBandwidthRateLimit | Accorde l'autorisation d'obtenir les limites de débit de bande passante d'une passerelle | Lecture | |||
| DescribeBandwidthRateLimitSchedule | Accorde l'autorisation d'obtenir le calendrier de limite de débit de bande passante d'une passerelle | Lecture | |||
| DescribeCache | Accorde l'autorisation d'obtenir des informations sur le cache d'une passerelle Cette opération est uniquement prise en charge pour l'architecture de volumes mis en cache sur la passerelle | Lecture | |||
| DescribeCachediSCSIVolumes | Accorde l'autorisation d'obtenir une description des volumes de passerelle spécifiés dans la requête. Cette opération est uniquement prise en charge pour l'architecture de volumes mis en cache sur la passerelle | Lecture | |||
| DescribeChapCredentials | Accorde l'autorisation d'obtenir un tableau d'informations d'identification du protocole d'authentification Challenge-Handshake (CHAP) pour une SCSI cible i spécifiée, une pour chaque paire cible/initiateur | Lecture | |||
| DescribeFileSystemAssociations | Accorde l'autorisation d'obtenir une description pour une ou plusieurs associations de systèmes de fichiers. | Lecture | |||
| DescribeGatewayInformation | Accorde l'autorisation d'obtenir des métadonnées sur une passerelle telles que son nom, les interfaces réseau, le fuseau horaire configuré et son état (que la passerelle soit en cours d'exécution ou non) | Lecture | |||
| DescribeMaintenanceStartTime | Accorde l'autorisation d'obtenir l'heure de début de la maintenance hebdomadaire de votre passerelle, en particulier le jour et l'heure de la semaine | Lecture | |||
| DescribeNFSFileShares | Accorde l'autorisation d'obtenir une description pour un ou plusieurs partages de fichiers à partir d'une passerelle de fichiers | Lecture | |||
| DescribeSMBFileShares | Accorde l'autorisation d'obtenir une description pour un ou plusieurs partages de fichiers à partir d'une passerelle de fichiers | Lecture | |||
| DescribeSMBSettings | Accorde l'autorisation d'obtenir une description des paramètres de partage de fichiers d'un bloc de messages serveur (SMB) à partir d'une passerelle de fichiers | Lecture | |||
| DescribeSnapshotSchedule | Accorde l'autorisation de décrire le planning des instantanés pour le volume de passerelle spécifié | Lecture | |||
| DescribeStorediSCSIVolumes | Accorde l'autorisation d'obtenir la description des volumes de passerelle spécifiés dans la demande | Lecture | |||
| DescribeTapeArchives | Accorde l'autorisation d'obtenir une description des bandes virtuelles spécifiées dans l'étagère à bandes virtuelle (VTS) | Lecture | |||
| DescribeTapeRecoveryPoints | Accorde l'autorisation d'obtenir une liste des points de restauration sur bande virtuelle disponibles pour la passerelle spécifiée VTL | Lecture | |||
| DescribeTapes | Accorde l'autorisation d'obtenir une description du nom de ressource Amazon (ARN) spécifié pour les bandes virtuelles | Lecture | |||
| DescribeUploadBuffer | Accorde l'autorisation d'obtenir des informations sur le tampon de chargement d'une passerelle | Lecture | |||
| DescribeVTLDevices | Accorde l'autorisation d'obtenir une description des périphériques de bibliothèque de bandes virtuelles (VTL) pour la passerelle spécifiée | Lecture | |||
| DescribeWorkingStorage | Accorde l'autorisation d'obtenir des informations sur le stockage de traitement d'une passerelle | Lecture | |||
| DetachVolume | Accorde l'autorisation de déconnecter un volume d'une SCSI connexion i, puis détache le volume de la passerelle spécifiée | Écrire | |||
| DisableGateway | Accorde l'autorisation de désactiver une passerelle lorsque la passerelle ne fonctionne plus | Écrire | |||
| DisassociateFileSystem | Accorde l'autorisation de dissocier un système de FSx fichiers Amazon d'une passerelle de FSx fichiers Amazon | Écrire | |||
| JoinDomain | Accorde l'autorisation de vous permettre de rejoindre un domaine Active Directory | Écrire | |||
| ListAutomaticTapeCreationPolicies | Autorise à répertorier les politiques de création automatique de bandes configurées sur la passerelle spécifiée (VTLou sur toutes les passerelles) VTLs appartenant à votre Compte AWS | Liste | |||
| ListFileShares | Accorde l'autorisation d'obtenir la liste des partages de fichiers pour une passerelle de fichiers spécifique, ou la liste des partages de fichiers détenus par votre Compte AWS | Liste | |||
| ListFileSystemAssociations | Accorde l'autorisation d'obtenir une liste des associations de systèmes de fichiers pour la passerelle spécifiée. | Liste | |||
| ListGateways | Accorde l'autorisation de répertorier les passerelles détenues par et Compte AWS dans une région spécifiée dans la demande. La liste renvoyée est triée par passerelle Amazon Resource Name (ARN) | Liste | |||
| ListLocalDisks | Accorde l'autorisation d'obtenir une liste des disques locaux de la passerelle | Liste | |||
| ListTagsForResource | Accorde l'autorisation d'obtenir les identifications qui ont été ajoutées à la ressource spécifiée | Liste | |||
| ListTapePools | Accorde l'autorisation de répertorier les pools de bandes appartenant à votre Compte AWS | Liste | |||
| ListTapes | Autorise à répertorier les bandes virtuelles dans votre bibliothèque de bandes virtuelles (VTL) et dans votre étagère à bandes virtuelle (VTS) | Liste | |||
| ListVolumeInitiators | Accorde l'autorisation de répertorier SCSI les initiateurs connectés à un volume | Liste | |||
| ListVolumeRecoveryPoints | Accorde l'autorisation de répertorier les points de récupération pour une passerelle spécifiée | Liste | |||
| ListVolumes | Accorde l'autorisation de répertorier les volumes SCSI stockés dans i d'une passerelle | Liste | |||
| NotifyWhenUploaded | Accorde l'autorisation de vous envoyer une notification via CloudWatch Events lorsque tous les fichiers écrits sur votre partage de NFS fichiers ont été chargés sur Amazon S3 | Écrire | |||
| RefreshCache | Accorde l'autorisation d'actualiser le cache pour le partage de fichiers spécifié | Écriture | |||
| RemoveTagsFromResource | Accorde l'autorisation de supprimer une ou plusieurs identifications de la ressource spécifiée | Balisage | |||
| ResetCache | Accorde l'autorisation de réinitialiser tous les disques de mémoire cache qui ont rencontré une erreur et autorise la reconfiguration de ces disques en tant que stockages de cache | Écrire | |||
| RetrieveTapeArchive | Accorde l'autorisation de récupérer une bande virtuelle archivée depuis l'étagère à bandes virtuelle (VTS) vers une passerelle VTL | Écrire | |||
| RetrieveTapeRecoveryPoint | Accorde l'autorisation de récupérer le point de récupération de la bande virtuelle spécifiée | Écriture | |||
| SetLocalConsolePassword | Accorde l'autorisation de définir le mot de passe pour votre console locale de machine virtuelle | Écrire | |||
| SetSMBGuestPassword | Accorde l'autorisation de définir le mot de passe de l'utilisateur SMB invité | Écrire | |||
| ShutdownGateway | Accorde l'autorisation d'arrêter une passerelle | Écriture | |||
| StartAvailabilityMonitorTest | Accorde l'autorisation de démarrer un test qui vérifie que la passerelle spécifiée est configurée pour la surveillance de la haute disponibilité dans votre environnement hôte | Écriture | |||
| StartGateway | Accorde l'autorisation de démarrer une passerelle que vous avez précédemment arrêtée | Écrire | |||
| UpdateAutomaticTapeCreationPolicy | Autorise la mise à jour de la politique de création automatique de bandes configurée sur une passerelle VTL | Écrire | |||
| UpdateBandwidthRateLimit | Accorde l'autorisation de mettre à jour les limites de débit de bande passante d'une passerelle | Écriture | |||
| UpdateBandwidthRateLimitSchedule | Accorde l'autorisation de mettre à jour le calendrier de limite de débit de bande passante d'une passerelle | Écrire | |||
| UpdateChapCredentials | Accorde l'autorisation de mettre à jour les informations d'identification du protocole d'authentification Challenge-Handshake (CHAP) pour une cible i spécifiée SCSI | Écrire | |||
| UpdateFileSystemAssociation | Accorde l'autorisation de mettre à jour une association de système de fichiers. | Écriture |
logs:CreateLogDelivery logs:DeleteLogDelivery logs:GetLogDelivery logs:ListLogDeliveries logs:UpdateLogDelivery |
||
| UpdateGatewayInformation | Accorde l'autorisation de mettre à jour les métadonnées d'une passerelle, ce qui inclut le nom et le fuseau horaire de la passerelle | Écriture | |||
| UpdateGatewaySoftwareNow | Accorde l'autorisation de mettre à jour le logiciel de la machine virtuelle (VM) de passerelle | Écriture | |||
| UpdateMaintenanceStartTime | Accorde l'autorisation demettre à jour l'heure de début de la maintenance hebdomadaire d'une passerelle, en particulier le jour et l'heure de la semaine. L'heure de maintenance est l'heure dans le fuseau horaire de votre passerelle | Écrire | |||
| UpdateNFSFileShare | Autorise la mise à jour d'un partage de NFS fichiers | Écrire | |||
| UpdateSMBFileShare | Autorise la mise à jour d'un partage de SMB fichiers | Écrire | |||
| UpdateSMBFileShareVisibility | Accorde l'autorisation de mettre à jour la visibilité des partages d'une passerelle dans une vue réseau ou dans une liste de navigation | Écrire | |||
| UpdateSMBLocalGroups | Accorde l'autorisation de mettre à jour la liste des utilisateurs et des groupes Active Directory dotés d'autorisations spéciales pour les partages de SMB fichiers sur la passerelle | Écrire | |||
| UpdateSMBSecurityStrategy | Autorise la mise à jour de la stratégie SMB de sécurité sur une passerelle de fichiers | Écrire | |||
| UpdateSnapshotSchedule | Accorde l'autorisation de mettre à jour une planification d'instantanés configuré pour un volume de passerelle | Écrire | |||
| UpdateVTLDeviceType | Autorise la mise à jour du type de changeur de support dans une passerelle VTL | Écrire |
Types de ressources définis par AWS Storage Gateway
Les types de ressources suivants sont définis par ce service et peuvent être utilisés dans l'Resourceélément des déclarations de politique d'IAMautorisation. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
| Types de ressources | ARN | Clés de condition |
|---|---|---|
| device |
arn:${Partition}:storagegateway:${Region}:${Account}:gateway/${GatewayId}/device/${Vtldevice}
|
|
| fs-association |
arn:${Partition}:storagegateway:${Region}:${Account}:fs-association/${FsaId}
|
|
| gateway |
arn:${Partition}:storagegateway:${Region}:${Account}:gateway/${GatewayId}
|
|
| share |
arn:${Partition}:storagegateway:${Region}:${Account}:share/${ShareId}
|
|
| tape |
arn:${Partition}:storagegateway:${Region}:${Account}:tape/${TapeBarcode}
|
|
| tapepool |
arn:${Partition}:storagegateway:${Region}:${Account}:tapepool/${PoolId}
|
|
| target |
arn:${Partition}:storagegateway:${Region}:${Account}:gateway/${GatewayId}/target/${IscsiTarget}
|
|
| volume |
arn:${Partition}:storagegateway:${Region}:${Account}:gateway/${GatewayId}/volume/${VolumeId}
|
Clés de condition pour AWS Storage Gateway
AWS Storage Gateway définit les clés de condition suivantes qui peuvent être utilisées dans l'Conditionélément d'une IAM politique. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
| Clés de condition | Description | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtre l'accès en fonction de l'ensemble de valeurs autorisées pour chacune des identifications | Chaîne |
| aws:ResourceTag/${TagKey} | Filtre l'accès en fonction de la valeur d'identification associée à la ressource | Chaîne |
| aws:TagKeys | Filtre l'accès en fonction de la présence de identifications obligatoires dans la demande | ArrayOfString |
