Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôle d'accès pour la console Snowball Edge et création de tâches
Comme pour tous les AWS services, l'accès AWS Snowball nécessite des informations d'identification qui AWS peuvent être utilisées pour authentifier vos demandes. Ces informations d'identification doivent être autorisées à accéder à AWS des ressources, telles qu'un compartiment Amazon S3 ou une AWS Lambda fonction. AWS Snowball diffère de deux manières :
-
Les offres d'emploi AWS Snowball n'ont pas de nom de ressource Amazon (ARNs).
-
Le contrôle d'accès physique et de réseau pour un appareil sur site relève de votre responsabilité.
Identity and Access Management pour AWS Snowball EdgePour en savoir plus sur la manière dont vous pouvez utiliser AWS Identity and Access Management (IAM) et sur la manière de sécuriser vos ressources en contrôlant les personnes autorisées AWS Snowball à y accéder AWS Cloud, consultez les recommandations relatives au contrôle d'accès local ainsi que les recommandations relatives au contrôle d'accès local.
Vue d'ensemble de la gestion des autorisations d'accès à vos ressources dans le AWS Cloud
Chaque AWS ressource appartient à un Compte AWS, et les autorisations de création ou d'accès à une ressource sont régies par des politiques d'autorisation. Un administrateur de compte peut associer des politiques d'autorisations aux identités IAM (c'est-à-dire aux utilisateurs, aux groupes et aux rôles), et certains services (tels que AWS Lambda) prennent également en charge l'attachement de politiques d'autorisations aux ressources.
Note
Un administrateur de compte (ou utilisateur administrateur) est un utilisateur doté des privilèges d’administrateur. Pour plus d'informations, consultez Bonnes pratiques IAM dans le Guide de l'utilisateur IAM.
Rubriques
Ressources et opérations
Dans AWS Snowball, la ressource principale est un travail. AWS Snowball possède également des appareils tels que le Snowball et l' AWS Snowball Edge appareil, mais vous ne pouvez utiliser ces appareils que dans le contexte d'une tâche existante. Les compartiments Amazon S3 et les fonctions Lambda sont des ressources d'Amazon S3 et Lambda respectivement.
Comme indiqué précédemment, les jobs ne sont pas associés aux Amazon Resource Names (ARNs). Cependant, les ressources d'autres services, comme les compartiments Amazon S3, sont associées à unique (ARNs), comme indiqué dans le tableau suivant.
| Type de ressource | Format ARN |
|---|---|
| Compartiment S3 | arn:aws:s3: |
AWS Snowball fournit un ensemble d'opérations permettant de créer et de gérer des emplois. Pour obtenir la liste des opérations disponibles, consultez la référence de l'AWS Snowball API.
Présentation de la propriété des ressources
Il Compte AWS est propriétaire des ressources créées dans le compte, quelle que soit la personne qui les a créées. Plus précisément, le propriétaire Compte AWS de la ressource est l'entité principale (c'est-à-dire le compte root, un utilisateur IAM ou un rôle IAM) qui authentifie la demande de création de ressource. Les exemples suivants illustrent comment cela fonctionne :
-
Si vous utilisez les informations d'identification de votre compte root Compte AWS pour créer un compartiment S3, vous Compte AWS êtes le propriétaire de la ressource (dans AWS Snowball, la ressource est la tâche).
-
Si vous créez un utilisateur IAM dans votre compte Compte AWS et que vous accordez l'autorisation de créer une tâche pour commander un appareil Snowball Edge à cet utilisateur, celui-ci peut créer une tâche pour commander un appareil Snowball Edge. Cependant, c'est à vous Compte AWS, à laquelle appartient l'utilisateur, que appartient la ressource de travail.
-
Si vous créez un rôle IAM Compte AWS avec les autorisations nécessaires pour créer une tâche, toute personne susceptible d'assumer ce rôle peut créer une tâche pour commander un appareil Snowball Edge. Vous Compte AWS, à qui appartient le rôle, êtes propriétaire de la ressource de travail.
Gérer l'accès aux ressources dans le AWS Cloud
Une politique d'autorisation décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des politiques d'autorisations.
Note
Cette section décrit l'utilisation d'IAM dans le contexte de AWS Snowball. Elle ne fournit pas d’informations détaillées sur le service IAM. Pour une documentation complète sur IAM, consultez Qu'est-ce que IAM ? dans le Guide de l'utilisateur IAM. Pour plus d'informations sur la syntaxe et les descriptions des stratégies IAM, consultez Référence de stratégie AWS IAM dans le Guide de l'utilisateur IAM.
Les politiques associées à une identité IAM sont appelées politiques basées sur l'identité (politiques IAM) et les politiques associées à une ressource sont appelées politiques basées sur les ressources. AWS Snowball prend uniquement en charge les politiques basées sur l'identité (politiques IAM).
Rubriques
Politiques basées sur une ressource
D’autres services, tels qu’Amazon S3, prennent également en charge les politiques d’autorisation basées sur une ressource. Par exemple, vous pouvez associer une politique à un compartiment S3 pour gérer les autorisations d'accès à ce compartiment. AWS Snowball ne prend pas en charge les politiques basées sur les ressources.
Spécification des éléments d'une politique : actions, effets et principaux
Pour chaque tâche (voirRessources et opérations), le service définit un ensemble d'opérations d'API (voir Référence d'AWS Snowball API) pour créer et gérer ladite tâche. Pour accorder des autorisations pour ces opérations d'API AWS Snowball , définissez un ensemble d'actions que vous pouvez spécifier dans une politique. Par exemple, pour une tâche, les actions suivantes sont définies : CreateJob, CancelJob, and DescribeJob. Notez que l'exécution d'une opération d'API peut exiger des autorisations pour plusieurs actions.
Voici les éléments les plus élémentaires d'une politique :
-
Ressource : dans une politique, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la politique s'applique. Pour de plus amples informations, veuillez consulter Ressources et opérations.
Note
Ceci est pris en charge pour Amazon S3, Amazon EC2, AWS Lambda et de nombreux autres services. AWS KMS
Snowball ne prend pas en charge la spécification d'un ARN de ressource dans l'
Resourceélément d'une déclaration de politique IAM. Pour autoriser l'accès à Snowball, spécifiez-le“Resource”: “*”dans votre politique. -
Action : vous utilisez des mots clés d’action pour identifier les opérations de ressource que vous voulez accorder ou refuser. Par exemple, en fonction de l'
Effect,snowball:*accorde ou refuse à l'utilisateur les autorisations pour effectuer toutes les opérations.Note
Ceci est pris en charge pour Amazon EC2, Amazon S3 et IAM.
-
Effet – Vous spécifiez l’effet produit lorsque l’utilisateur demande l’action spécifique, qui peut être une autorisation ou un refus. Si vous n’accordez pas explicitement l’accès pour (autoriser) une ressource, l’accès est implicitement refusé. Vous pouvez aussi explicitement refuser l’accès à une ressource, ce que vous pouvez faire afin de vous assurer qu’un utilisateur n’y a pas accès, même si une politique différente accorde l’accès.
Note
Ceci est pris en charge pour Amazon EC2, Amazon S3 et IAM.
-
Principal – dans les politiques basées sur une identité (politiques IAM), l’utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur les ressources, vous spécifiez l'utilisateur, le compte, le service ou toute autre entité pour lequel vous souhaitez recevoir des autorisations (s'applique uniquement aux politiques basées sur les ressources). AWS Snowball ne prend pas en charge les politiques basées sur les ressources.
Pour en savoir plus sur la syntaxe des stratégies IAM et pour obtenir des descriptions, consultez Référence de stratégie IAM AWS dans le Guide de l'utilisateur IAM.
Pour un tableau présentant toutes les actions de l' AWS Snowball API, consultezAWS Snowball Autorisations d'API : référence des actions, des ressources et des conditions.
Spécification de conditions dans une politique
Lorsque vous accordez des autorisations, vous pouvez utiliser le langage des politiques IAM afin de spécifier les conditions définissant à quel moment une politique doit prendre effet. Par exemple, il est possible d'appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans un langage de politique, consultez Condition dans le Guide de l'utilisateur IAM.
Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Il n'existe pas de clés de condition spécifiques à AWS Snowball. Cependant, il existe des AWS clés de condition larges que vous pouvez utiliser le cas échéant. Pour obtenir la liste complète des touches AWS-wide, consultez la section Clés disponibles pour les conditions dans le guide de l'utilisateur IAM.
AWS-Politiques gérées (prédéfinies) pour Edge AWS Snowball
AWS répond à de nombreux cas d'utilisation courants en fournissant des politiques IAM autonomes créées et administrées par. AWS Les politiques gérées octroient les autorisations requises dans les cas d’utilisation courants et vous évitent d’avoir à réfléchir aux autorisations qui sont requises. Pour plus d'informations, consultez Politiques gérées par AWS dans le Guide de l'utilisateur IAM.
Vous pouvez utiliser les politiques AWS gérées suivantes avec AWS Snowball.
Création d'une politique de rôle IAM pour Snowball Edge
Une politique de rôle IAM doit être créée avec des autorisations de lecture et d'écriture pour vos compartiments Amazon S3. Le rôle IAM doit également entretenir une relation de confiance avec Snowball. Une relation de confiance signifie que AWS vous pouvez écrire les données dans le Snowball et dans vos compartiments Amazon S3, selon que vous importez ou exportez des données.
Lorsque vous créez une tâche pour y commander un appareil Snowball Edge AWS Snow Family Management Console, le rôle IAM nécessaire est créé à l'étape 4 de la section Autorisation. Cette procédure est automatique. Le rôle IAM que vous autorisez Snowball à assumer est uniquement utilisé pour écrire vos données dans votre bucket lorsque le Snowball contenant les données transférées arrive. AWS La procédure suivante décrit ce processus.
Pour créer le rôle IAM pour votre i
-
Connectez-vous à la AWS Snowball console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/importexport/
. -
Choisissez Créer une tâche.
-
Dans un premier temps, renseignez les informations relatives à votre tâche d'importation dans Amazon S3, puis choisissez Next.
-
Dans la deuxième étape, sous Permission, choisissez Create/Select IAM Role (Créer/Sélectionner le rôle IAM).
La console de gestion IAM s'ouvre et indique le rôle IAM AWS utilisé pour copier des objets dans les compartiments Amazon S3 que vous avez spécifiés.
-
Vérifiez les détails sur cette page, puis choisissez Autoriser.
Vous revenez au AWS Snow Family Management Console, où l'ARN du rôle IAM sélectionné contient le nom de ressource Amazon (ARN) du rôle IAM que vous venez de créer.
-
Choisissez Next pour terminer la création de votre rôle IAM.
La procédure précédente crée un rôle IAM doté d'autorisations d'écriture pour les compartiments Amazon S3 dans lesquels vous prévoyez d'importer vos données. Le rôle IAM qui est créé possède l'une des structures suivantes, selon que l'objectif est une tâche d'importation ou une tâche d'exportation.
Rôle IAM pour une tâche d'importation
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucketMultipartUploads" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "s3:GetBucketPolicy", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts", "s3:PutObjectAcl", "s3:ListBucket" ], "Resource": "arn:aws:s3:::*" } ] }
Si vous utilisez le chiffrement côté serveur avec des clés AWS KMS gérées (SSE-KMS) pour chiffrer les compartiments Amazon S3 associés à votre tâche d'importation, vous devez également ajouter l'instruction suivante à votre rôle IAM.
{ "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111" }
Si la taille des objets est plus grande, le client Amazon S3 utilisé pour le processus d'importation utilise le téléchargement partitionné. Si vous lancez un téléchargement partitionné à l'aide de SSE-KMS, toutes les parties téléchargées sont cryptées à l'aide de la clé spécifiée. AWS KMS Les parties étant chiffrées, elles doivent être déchiffrées avant de pouvoir être assemblées pour terminer le chargement partitionné. Vous devez donc être autorisé à déchiffrer la AWS KMS clé (kms:Decrypt) lorsque vous exécutez un téléchargement partitionné vers Amazon S3 avec SSE-KMS.
Voici un exemple de rôle IAM nécessaire pour une tâche d'importation nécessitant une autorisation kms:Decrypt.
{ "Effect": "Allow", "Action": [ "kms:GenerateDataKey","kms:Decrypt" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111" }
Voici un exemple de rôle IAM nécessaire pour une tâche d'exportation.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetBucketPolicy", "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::*" } ] }
Si vous utilisez le chiffrement côté serveur avec des AWS KMS clés gérées pour chiffrer les compartiments Amazon S3 associés à votre tâche d'exportation, vous devez également ajouter l'instruction suivante à votre rôle IAM.
{ "Effect": "Allow", "Action": [ “kms:Decrypt” ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111" }
Vous pouvez créer vos propres politiques IAM personnalisées pour autoriser les opérations d'API à des fins de gestion des AWS Snowball tâches. Vous pouvez attacher ces politiques personnalisées aux utilisateurs ou groupes IAM qui nécessitent ces autorisations.
