Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôle d'accès pour la console de la famille Snow et création de tâches
Comme pour tous les AWS services, l'accès AWS Snowball nécessite des informations d'identification qui AWS peuvent être utilisées pour authentifier vos demandes. Ces informations d'identification doivent être autorisées à accéder à AWS des ressources, telles qu'un compartiment Amazon S3 ou une AWS Lambda fonction. AWS Snowball diffère de deux manières :
-
Les offres d'emploi AWS Snowball n'ont pas de nom de ressource Amazon (ARNs).
-
Le contrôle d'accès physique et de réseau pour un appareil sur site relève de votre responsabilité.
Identity and Access Management pour AWS Snow FamilyPour plus de détails sur la façon dont vous pouvez utiliser AWS Identity and Access Management (IAM) et AWS Snowball pour sécuriser vos ressources en contrôlant les personnes autorisées à y accéder AWS Cloud, consultez les recommandations relatives au contrôle d'accès local et local.
Vue d'ensemble de la gestion des autorisations d'accès à vos ressources dans le AWS Cloud
Chaque AWS ressource appartient à un Compte AWS, et les autorisations de création ou d'accès à une ressource sont régies par des politiques d'autorisation. Un administrateur de compte peut associer des politiques d'autorisation aux IAM identités (c'est-à-dire aux utilisateurs, aux groupes et aux rôles), et certains services (tels que AWS Lambda) permettent également d'associer des politiques d'autorisation aux ressources.
Note
Un administrateur de compte (ou utilisateur administrateur) est un utilisateur doté des privilèges d’administrateur. Pour plus d'informations, consultez la section IAMBonnes pratiques du guide de IAM l'utilisateur.
Rubriques
Ressources et opérations
Dans AWS Snowball, la ressource principale est un travail. AWS Snowball possède également des appareils tels que le Snowball et l' AWS Snowball Edge appareil, mais vous ne pouvez utiliser ces appareils que dans le contexte d'une tâche existante. Les compartiments Amazon S3 et les fonctions Lambda sont des ressources d'Amazon S3 et Lambda respectivement.
Comme indiqué précédemment, les jobs ne sont pas associés aux Amazon Resource Names (ARNs). Cependant, les ressources d'autres services, comme les compartiments Amazon S3, sont associées à unique (ARNs), comme indiqué dans le tableau suivant.
| Type de ressource | ARNFormat |
|---|---|
| Compartiment S3 | arn:aws:s3: |
AWS Snowball fournit un ensemble d'opérations permettant de créer et de gérer des emplois. Pour une liste des opérations disponibles, consultez la AWS Snowball APIréférence.
Présentation de la propriété des ressources
Il Compte AWS est propriétaire des ressources créées dans le compte, quelle que soit la personne qui les a créées. Plus précisément, le propriétaire Compte AWS de la ressource est l'entité principale (c'est-à-dire le compte root, un IAM utilisateur ou un IAM rôle) qui authentifie la demande de création de ressource. Les exemples suivants illustrent comment cela fonctionne :
-
Si vous utilisez les informations d'identification de votre compte root Compte AWS pour créer un compartiment S3, vous Compte AWS êtes le propriétaire de la ressource (dans AWS Snowball, la ressource est la tâche).
-
Si vous créez un IAM utilisateur dans votre Compte AWS et que vous accordez l'autorisation de créer une tâche pour commander un appareil Snow Family à cet utilisateur, celui-ci peut créer une tâche pour commander un appareil Snow Family. Cependant, c'est à vous Compte AWS, à laquelle appartient l'utilisateur, que appartient la ressource de travail.
-
Si vous créez un IAM rôle Compte AWS avec les autorisations nécessaires pour créer un emploi, toute personne pouvant assumer ce rôle peut créer un travail pour commander un appareil Snow Family. Vous Compte AWS, à qui appartient le rôle, êtes propriétaire de la ressource de travail.
Gérer l'accès aux ressources dans le AWS Cloud
Une politique d'autorisation décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des politiques d'autorisations.
Note
Cette section traite de l'utilisation IAM dans le contexte de AWS Snowball. Il ne fournit pas d'informations détaillées sur le IAM service. Pour une IAM documentation complète, voir Qu'est-ce que c'est IAM ? dans le guide de IAM l'utilisateur. Pour plus d'informations sur la syntaxe et les descriptions des IAM politiques, reportez-vous à la section Référence des AWS IAM politiques dans le Guide de IAM l'utilisateur.
Les politiques associées à une IAM identité sont appelées politiques basées sur l'identité (politiques) et IAM les politiques associées à une ressource sont appelées politiques basées sur les ressources. AWS Snowball prend uniquement en charge les politiques basées sur l'identité (IAMpolitiques).
Rubriques
Politiques basées sur une ressource
D’autres services, tels qu’Amazon S3, prennent également en charge les politiques d’autorisation basées sur une ressource. Par exemple, vous pouvez associer une politique à un compartiment S3 pour gérer les autorisations d'accès à ce compartiment. AWS Snowball ne prend pas en charge les politiques basées sur les ressources.
Spécification des éléments d'une politique : actions, effets et principaux
Pour chaque tâche (voirRessources et opérations), le service définit un ensemble d'APIopérations (voir AWS Snowball APIRéférence) pour créer et gérer ladite tâche. Pour accorder des autorisations pour ces API opérations, AWS Snowball définit un ensemble d'actions que vous pouvez spécifier dans une politique. Par exemple, pour une tâche, les actions suivantes sont définies : CreateJob, CancelJob, and DescribeJob. Notez que l'exécution d'une API opération peut nécessiter des autorisations pour plusieurs actions.
Voici les éléments les plus élémentaires d'une politique :
-
Ressource : dans une politique, vous utilisez un nom de ressource Amazon (ARN) pour identifier la ressource à laquelle la politique s'applique. Pour de plus amples informations, veuillez consulter Ressources et opérations.
Note
Ceci est pris en charge pour Amazon S3, AmazonEC2, AWS Lambda et de nombreux autres services. AWS KMS
Snowball ne prend pas en charge la spécification d'une ressource ARN dans l'
Resourceélément d'une déclaration de IAM politique. Pour autoriser l'accès à Snowball, spécifiez-le“Resource”: “*”dans votre politique. -
Action : vous utilisez des mots clés d’action pour identifier les opérations de ressource que vous voulez accorder ou refuser. Par exemple, en fonction de l'
Effect,snowball:*accorde ou refuse à l'utilisateur les autorisations pour effectuer toutes les opérations.Note
Ceci est pris en charge pour AmazonEC2, Amazon S3 etIAM.
-
Effet – Vous spécifiez l’effet produit lorsque l’utilisateur demande l’action spécifique, qui peut être une autorisation ou un refus. Si vous n’accordez pas explicitement l’accès pour (autoriser) une ressource, l’accès est implicitement refusé. Vous pouvez aussi explicitement refuser l’accès à une ressource, ce que vous pouvez faire afin de vous assurer qu’un utilisateur n’y a pas accès, même si une politique différente accorde l’accès.
Note
Ceci est pris en charge pour AmazonEC2, Amazon S3 etIAM.
-
Principal — Dans les politiques basées sur l'identité (IAMpolitiques), l'utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur les ressources, vous spécifiez l'utilisateur, le compte, le service ou toute autre entité pour lequel vous souhaitez recevoir des autorisations (s'applique uniquement aux politiques basées sur les ressources). AWS Snowball ne prend pas en charge les politiques basées sur les ressources.
Pour en savoir plus sur la syntaxe et les descriptions des IAM politiques, consultez la section Référence des AWS IAM politiques dans le guide de IAM l'utilisateur.
Pour un tableau présentant toutes les AWS Snowball API actions, voirAWS Snowball APIAutorisations : référence aux actions, aux ressources et aux conditions.
Spécification de conditions dans une politique
Lorsque vous accordez des autorisations, vous pouvez utiliser le langage de IAM politique pour spécifier les conditions dans lesquelles une politique doit entrer en vigueur. Par exemple, il est possible d’appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans un langage de politique, voir Condition dans le guide de IAM l'utilisateur.
Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Il n'existe pas de clés de condition spécifiques à AWS Snowball. Cependant, il existe des AWS clés de condition larges que vous pouvez utiliser le cas échéant. Pour obtenir la liste complète des touches AWS-wide, consultez la section Clés disponibles pour les conditions dans le guide de IAM l'utilisateur.
AWS-Politiques gérées (prédéfinies) pour Edge AWS Snowball
AWS répond à de nombreux cas d'utilisation courants en fournissant des IAM politiques autonomes créées et administrées par AWS. Les politiques gérées octroient les autorisations requises dans les cas d’utilisation courants et vous évitent d’avoir à réfléchir aux autorisations qui sont requises. Pour plus d'informations, consultez la section Politiques AWS gérées dans le guide de IAM l'utilisateur.
Vous pouvez utiliser les politiques AWS gérées suivantes avec AWS Snowball.
Création d'une politique de IAM rôle pour Snowball Edge
Une politique de IAM rôle doit être créée avec des autorisations de lecture et d'écriture pour vos compartiments Amazon S3. Le IAM rôle doit également entretenir une relation de confiance avec Snowball. Une relation de confiance signifie que AWS vous pouvez écrire les données dans le Snowball et dans vos compartiments Amazon S3, selon que vous importez ou exportez des données.
Lorsque vous créez une tâche pour commander un appareil Snow Family dans le AWS Snow Family Management Console, la création du IAM rôle nécessaire a lieu à l'étape 4 de la section Autorisation. Cette procédure est automatique. Le IAM rôle que vous autorisez Snowball à assumer est uniquement utilisé pour écrire vos données dans votre bucket lorsque le Snowball contenant les données transférées arrive. AWS La procédure suivante décrit ce processus.
Pour créer le IAM rôle de votre i
-
Connectez-vous à la AWS Snowball console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/importexport/
. -
Choisissez Créer une tâche.
-
Dans un premier temps, renseignez les informations relatives à votre tâche d'importation dans Amazon S3, puis choisissez Next.
-
Dans la deuxième étape, sous Autorisation, choisissez Créer/Sélectionner IAM un rôle.
La console IAM de gestion s'ouvre et indique le IAM rôle AWS utilisé pour copier des objets dans les compartiments Amazon S3 que vous avez spécifiés.
-
Vérifiez les détails sur cette page, puis choisissez Autoriser.
Vous revenez au AWS Snow Family Management Console, où le IAMrôle sélectionné ARN contient le nom de ressource Amazon (ARN) pour le IAM rôle que vous venez de créer.
-
Cliquez sur Suivant pour terminer la création de votre IAM rôle.
La procédure précédente crée un IAM rôle doté d'autorisations d'écriture pour les compartiments Amazon S3 dans lesquels vous prévoyez d'importer vos données. Le IAM rôle créé possède l'une des structures suivantes, selon qu'il s'agit d'une tâche d'importation ou d'exportation.
IAMRôle d'un job d'importation
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucketMultipartUploads" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "s3:GetBucketPolicy", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts", "s3:PutObjectAcl", "s3:ListBucket" ], "Resource": "arn:aws:s3:::*" } ] }
Si vous utilisez le chiffrement côté serveur avec des clés AWS KMS gérées (SSE-KMS) pour chiffrer les compartiments Amazon S3 associés à votre tâche d'importation, vous devez également ajouter l'instruction suivante à votre rôle. IAM
{ "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111" }
Si la taille des objets est plus grande, le client Amazon S3 utilisé pour le processus d'importation utilise le téléchargement partitionné. Si vous lancez un téléchargement en plusieurs parties à l'aide de SSE -KMS, toutes les parties téléchargées sont cryptées à l'aide de la AWS KMS clé spécifiée. Les parties étant chiffrées, elles doivent être déchiffrées avant de pouvoir être assemblées pour terminer le chargement partitionné. Vous devez donc être autorisé à déchiffrer la AWS KMS clé (kms:Decrypt) lorsque vous exécutez un téléchargement partitionné vers Amazon S3 avec SSE -. KMS
Voici un exemple de IAM rôle nécessaire pour une tâche d'importation nécessitant une kms:Decrypt autorisation.
{ "Effect": "Allow", "Action": [ "kms:GenerateDataKey","kms:Decrypt" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111" }
Voici un exemple de IAM rôle nécessaire pour une tâche d'exportation.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetBucketPolicy", "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::*" } ] }
Si vous utilisez le chiffrement côté serveur avec des AWS KMS clés gérées pour chiffrer les compartiments Amazon S3 associés à votre tâche d'exportation, vous devez également ajouter la déclaration suivante à votre rôle. IAM
{ "Effect": "Allow", "Action": [ “kms:Decrypt” ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111" }
Vous pouvez créer vos propres IAM politiques personnalisées pour autoriser les API opérations de gestion des AWS Snowball tâches. Vous pouvez associer ces politiques personnalisées aux IAM utilisateurs ou aux groupes qui ont besoin de ces autorisations.
