Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Cette rubrique fournit des exemples de politiques basées sur l'identité qui montrent comment un administrateur de compte peut associer des politiques d'autorisation aux identités IAM (c'est-à-dire aux utilisateurs, aux groupes et aux rôles). Ces politiques accordent ainsi des autorisations pour effectuer des opérations sur les AWS Snowball ressources du AWS Cloud.
Important
Nous vous recommandons tout d'abord d'examiner les rubriques de présentation qui détaillent les concepts de base et les options disponibles pour gérer l'accès à vos ressources AWS Snowball . Pour de plus amples informations, veuillez consulter Vue d'ensemble de la gestion des autorisations d'accès à vos ressources dans le AWS Cloud.
Les sections de cette rubrique couvrent les sujets suivants :
Un exemple de politique d'autorisation est exposé ci-dessous.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"snowball:*",
"importexport:*"
],
"Resource": "*"
}
]
}
La politique possède deux énoncés:
-
La première instruction accorde des autorisations pour trois actions Amazon S3 (
s3:GetBucketLocation
,s3:GetObject
, ets3:ListBucket
) sur tous les compartiments Amazon S3 en utilisant le nom de ressource Amazon (ARN) dearn:aws:s3:::*
. L'ARN spécifie un caractère générique (*) afin que l'utilisateur puisse choisir l'un ou l'ensemble des compartiments Amazon S3 à partir desquels exporter des données. -
La deuxième instruction accorde des autorisations pour toutes les AWS Snowball actions. Etant donné que ces actions ne prennent pas en charge les autorisations au niveau des ressources, la stratégie spécifie le caractère générique (*) et la valeur
Resource
spécifie également un caractère générique.
La politique ne spécifie pas l'élément Principal
, car dans une politique basée sur une identité, vous ne spécifiez pas le principal qui obtient l'autorisation. Quand vous attachez une stratégie à un utilisateur, l'utilisateur est le mandataire implicite. Lorsque vous attachez une politique d'autorisation à un rôle IAM, le principal identifié dans la politique d'approbation de ce rôle obtient les autorisations.
Pour consulter un tableau présentant toutes les actions de l'API de gestion des AWS Snowball tâches et les ressources auxquelles elles s'appliquent, consultezAWS Snowball Autorisations d'API : référence des actions, des ressources et des conditions.
Autorisations requises pour utiliser la AWS Snowball console
Le tableau de référence des autorisations répertorie les opérations de l'API de gestion des AWS Snowball tâches et indique les autorisations requises pour chaque opération. Pour plus d'informations sur les opérations d'API de gestion des tâches, consultez AWS Snowball Autorisations d'API : référence des actions, des ressources et des conditions.
Pour utiliser le AWS Snow Family Management Console, vous devez accorder des autorisations pour des actions supplémentaires, comme indiqué dans la politique d'autorisation suivante :
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetBucketPolicy",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListAllMyBuckets"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"lambda:GetFunction",
"lambda:GetFunctionConfiguration"
],
"Resource": "arn:aws:lambda:*::function:*"
},
{
"Effect": "Allow",
"Action": [
"lambda:ListFunctions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:Encrypt",
"kms:RetireGrant",
"kms:ListKeys",
"kms:DescribeKey",
"kms:ListAliases"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:ListRoles",
"iam:ListRolePolicies",
"iam:PutRolePolicy"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "importexport.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeImages",
"ec2:ModifyImageAttribute"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"sns:CreateTopic",
"sns:ListTopics",
"sns:GetTopicAttributes",
"sns:SetTopicAttributes",
"sns:ListSubscriptionsByTopic",
"sns:Subscribe"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"greengrass:getServiceRoleForAccount"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"snowball:*"
],
"Resource": [
"*"
]
}
]
}
La AWS Snowball console a besoin de ces autorisations supplémentaires pour les raisons suivantes :
-
ec2:
— Ils permettent à l'utilisateur de décrire les instances EC2 compatibles avec Amazon et de modifier leurs attributs à des fins de calcul local. Pour de plus amples informations, veuillez consulter Utilisation d'instances de calcul EC2 compatibles avec Amazon sur Snowball Edge. -
kms:
— Ils permettent à l'utilisateur de créer ou de choisir la clé KMS qui chiffrera vos données. Pour de plus amples informations, veuillez consulter AWS Key Management Service dans AWS Snowball Edge. -
iam:
— Ils permettent à l'utilisateur de créer ou de choisir un ARN de rôle IAM qui AWS Snowball assumera l'accès aux AWS ressources associées à la création et au traitement des tâches. -
sns:
— Ils permettent à l'utilisateur de créer ou de choisir les notifications Amazon SNS pour les tâches qu'il crée. Pour de plus amples informations, veuillez consulter Notifications pour Snowball Edge.