Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Utilisation de politiques basées sur l'identité (politiques IAM) pour AWS Snowball

Mode de mise au point
Utilisation de politiques basées sur l'identité (politiques IAM) pour AWS Snowball - AWS Snowball Edge Guide du développeur

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Cette rubrique fournit des exemples de politiques basées sur l'identité qui montrent comment un administrateur de compte peut associer des politiques d'autorisation aux identités IAM (c'est-à-dire aux utilisateurs, aux groupes et aux rôles). Ces politiques accordent ainsi des autorisations pour effectuer des opérations sur les AWS Snowball ressources du AWS Cloud.

Important

Nous vous recommandons tout d'abord d'examiner les rubriques de présentation qui détaillent les concepts de base et les options disponibles pour gérer l'accès à vos ressources AWS Snowball . Pour de plus amples informations, veuillez consulter Vue d'ensemble de la gestion des autorisations d'accès à vos ressources dans le AWS Cloud.

Les sections de cette rubrique couvrent les sujets suivants :

Un exemple de politique d'autorisation est exposé ci-dessous.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*", "importexport:*" ], "Resource": "*" } ] }

La politique possède deux énoncés:

  • La première instruction accorde des autorisations pour trois actions Amazon S3 (s3:GetBucketLocation,s3:GetObject, ets3:ListBucket) sur tous les compartiments Amazon S3 en utilisant le nom de ressource Amazon (ARN) dearn:aws:s3:::*. L'ARN spécifie un caractère générique (*) afin que l'utilisateur puisse choisir l'un ou l'ensemble des compartiments Amazon S3 à partir desquels exporter des données.

  • La deuxième instruction accorde des autorisations pour toutes les AWS Snowball actions. Etant donné que ces actions ne prennent pas en charge les autorisations au niveau des ressources, la stratégie spécifie le caractère générique (*) et la valeur Resource spécifie également un caractère générique.

La politique ne spécifie pas l'élément Principal, car dans une politique basée sur une identité, vous ne spécifiez pas le principal qui obtient l'autorisation. Quand vous attachez une stratégie à un utilisateur, l'utilisateur est le mandataire implicite. Lorsque vous attachez une politique d'autorisation à un rôle IAM, le principal identifié dans la politique d'approbation de ce rôle obtient les autorisations.

Pour consulter un tableau présentant toutes les actions de l'API de gestion des AWS Snowball tâches et les ressources auxquelles elles s'appliquent, consultezAWS Snowball Autorisations d'API : référence des actions, des ressources et des conditions.

Autorisations requises pour utiliser la AWS Snowball console

Le tableau de référence des autorisations répertorie les opérations de l'API de gestion des AWS Snowball tâches et indique les autorisations requises pour chaque opération. Pour plus d'informations sur les opérations d'API de gestion des tâches, consultez AWS Snowball Autorisations d'API : référence des actions, des ressources et des conditions.

Pour utiliser le AWS Snow Family Management Console, vous devez accorder des autorisations pour des actions supplémentaires, comme indiqué dans la politique d'autorisation suivante :

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetBucketPolicy", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListAllMyBuckets" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "lambda:GetFunction", "lambda:GetFunctionConfiguration" ], "Resource": "arn:aws:lambda:*::function:*" }, { "Effect": "Allow", "Action": [ "lambda:ListFunctions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:GenerateDataKey", "kms:Decrypt", "kms:Encrypt", "kms:RetireGrant", "kms:ListKeys", "kms:DescribeKey", "kms:ListAliases" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreatePolicy", "iam:CreateRole", "iam:ListRoles", "iam:ListRolePolicies", "iam:PutRolePolicy" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "importexport.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:ModifyImageAttribute" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:ListTopics", "sns:GetTopicAttributes", "sns:SetTopicAttributes", "sns:ListSubscriptionsByTopic", "sns:Subscribe" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "greengrass:getServiceRoleForAccount" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] } ] }

La AWS Snowball console a besoin de ces autorisations supplémentaires pour les raisons suivantes :

  • ec2:— Ils permettent à l'utilisateur de décrire les instances EC2 compatibles avec Amazon et de modifier leurs attributs à des fins de calcul local. Pour de plus amples informations, veuillez consulter Utilisation d'instances de calcul EC2 compatibles avec Amazon sur Snowball Edge.

  • kms:— Ils permettent à l'utilisateur de créer ou de choisir la clé KMS qui chiffrera vos données. Pour de plus amples informations, veuillez consulter AWS Key Management Service dans AWS Snowball Edge.

  • iam:— Ils permettent à l'utilisateur de créer ou de choisir un ARN de rôle IAM qui AWS Snowball assumera l'accès aux AWS ressources associées à la création et au traitement des tâches.

  • sns:— Ils permettent à l'utilisateur de créer ou de choisir les notifications Amazon SNS pour les tâches qu'il crée. Pour de plus amples informations, veuillez consulter Notifications pour Snowball Edge.

Sur cette page

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.