Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de politiques gérées par le client
Dans cette section, vous trouverez des exemples de politiques utilisateur qui accordent des autorisations pour diverses actions de gestion des AWS Snowball tâches. Ces politiques fonctionnent lorsque vous utilisez AWS SDKs ou le AWS CLI. Lorsque vous utilisez la console, vous devez accorder des autorisations supplémentaires spécifiques à la console, ce qui est détaillé dans Autorisations requises pour utiliser la AWS Snowball console.
Note
Tous les exemples utilisent la région us-west-2 et contiennent un compte fictif. IDs
Exemples
- Exemple 1 : Politique de rôle qui permet à un utilisateur de créer un Job pour commander un appareil Snowball Edge avec l'API
- Exemple 2 : Stratégie de rôle pour créer des tâches d'importation
- Exemple 3 : Stratégie de rôle pour créer des tâches d'exportation
- Exemple 4 : Autorisations de rôle attendues et politique de confiance
- AWS Snowball Autorisations d'API : référence des actions, des ressources et des conditions
Exemple 1 : Politique de rôle qui permet à un utilisateur de créer un Job pour commander un appareil Snowball Edge avec l'API
La stratégie suivante d'autorisation est un composant essentiel de toute stratégie utilisée pour octroyer une autorisation de création de tâche ou de cluster à l'aide de l'API de gestion des tâches. La déclaration est nécessaire en tant que déclaration de politique de relation de confiance pour le rôle Snowball IAM.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "importexport.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Exemple 2 : Stratégie de rôle pour créer des tâches d'importation
Vous utilisez la politique d'approbation des rôles suivante pour créer des tâches d'importation pour Snowball Edge utilisant des fonctions AWS Lambda optimisées AWS IoT Greengrass .
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucketMultipartUploads" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "s3:GetBucketPolicy", "s3:GetBucketLocation", "s3:ListBucketMultipartUploads", "s3:ListBucket", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts", "s3:PutObjectAcl", "s3:GetObject" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CreateKeysAndCertificate", "iot:CreatePolicy", "iot:CreateThing", "iot:DescribeEndpoint", "iot:GetPolicy" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetFunction" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "greengrass:CreateCoreDefinition", "greengrass:CreateDeployment", "greengrass:CreateDeviceDefinition", "greengrass:CreateFunctionDefinition", "greengrass:CreateGroup", "greengrass:CreateGroupVersion", "greengrass:CreateLoggerDefinition", "greengrass:CreateSubscriptionDefinition", "greengrass:GetDeploymentStatus", "greengrass:UpdateGroupCertificateConfiguration", "greengrass:CreateGroupCertificateAuthority", "greengrass:GetGroupCertificateAuthority", "greengrass:ListGroupCertificateAuthorities", "greengrass:ListDeployments", "greengrass:GetGroup", "greengrass:GetGroupVersion", "greengrass:GetCoreDefinitionVersion" ], "Resource": [ "*" ] } ] }
Exemple 3 : Stratégie de rôle pour créer des tâches d'exportation
Vous utilisez la politique d'approbation des rôles suivante pour créer des tâches d'exportation pour Snowball Edge utilisant des fonctions AWS Lambda optimisées AWS IoT Greengrass .
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CreateKeysAndCertificate", "iot:CreatePolicy", "iot:CreateThing", "iot:DescribeEndpoint", "iot:GetPolicy" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetFunction" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "greengrass:CreateCoreDefinition", "greengrass:CreateDeployment", "greengrass:CreateDeviceDefinition", "greengrass:CreateFunctionDefinition", "greengrass:CreateGroup", "greengrass:CreateGroupVersion", "greengrass:CreateLoggerDefinition", "greengrass:CreateSubscriptionDefinition", "greengrass:GetDeploymentStatus", "greengrass:UpdateGroupCertificateConfiguration", "greengrass:CreateGroupCertificateAuthority", "greengrass:GetGroupCertificateAuthority", "greengrass:ListGroupCertificateAuthorities", "greengrass:ListDeployments", "greengrass:GetGroup", "greengrass:GetGroupVersion", "greengrass:GetCoreDefinitionVersion" ], "Resource": [ "*" ] } ] }
Exemple 4 : Autorisations de rôle attendues et politique de confiance
La politique d'autorisations de rôle attendue suivante est nécessaire pour qu'un rôle de service existant puisse être utilisé. Il s'agit d'une configuration unique.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sns:Publish", "Resource": ["[[snsArn]]"] }, { "Effect": "Allow", "Action": [ "cloudwatch:ListMetrics", "cloudwatch:GetMetricData", "cloudwatch:PutMetricData" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/SnowFamily" } } } ] }
La politique de confiance attendue suivante est nécessaire pour qu'un rôle de service existant puisse être utilisé. Il s'agit d'une configuration unique.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "importexport.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
AWS Snowball Autorisations d'API : référence des actions, des ressources et des conditions
Lorsque vous configurez Contrôle d'accès dans le AWS Cloud et que vous créez une stratégie d'autorisation que vous pouvez attacher à une identité IAM (stratégies basées sur une identité), vous pouvez utiliser la liste de ci-dessous comme référence. Le tableau suivant chaque opération de l'API de gestion des AWS Snowball tâches et les actions correspondantes pour lesquelles vous pouvez accorder des autorisations pour effectuer l'action. Il inclut également pour chaque opération d'API la AWS ressource pour laquelle vous pouvez accorder les autorisations. Vous spécifiez les actions dans le champ Action
de la politique ainsi que la valeur des ressources dans le champ Resource
de la politique.
Vous pouvez utiliser des AWS clés de condition larges dans vos AWS Snowball polices pour exprimer des conditions. Pour obtenir la liste complète des touches AWS-wide, consultez la section Clés disponibles dans le guide de l'utilisateur IAM.
Note
Pour indiquer une action, utilisez le préfixe snowball:
suivi du nom de l'opération d'API (par exemple, snowball:CreateJob
).
Utilisez les barres de défilement pour voir le reste du tableau.