Utilisation IAM locale sur un appareil Snow Family - AWS Snowball Edge Guide du développeur
Utilisation des API opérations AWS CLI etIAM AWS CLI Commandes prises en charge IAMexemples de politiques sur les appareils Snow FamilyTrustPolicy exemple sur un appareil Snow Family

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation IAM locale sur un appareil Snow Family

AWS Identity and Access Management (IAM) vous permet de contrôler en toute sécurité l'accès aux AWS ressources exécutées sur votre AWS Snowball Edge appareil. Vous pouvez IAM contrôler qui est authentifié (connecté) et autorisé (autorisé) à utiliser les ressources.

IAMest pris en charge localement sur votre appareil. Vous pouvez utiliser le IAM service local pour créer de nouveaux utilisateurs et leur associer des IAM politiques. Vous pouvez utiliser ces stratégies pour autoriser l'accès nécessaire à l'exécution des tâches assignées. Par exemple, vous pouvez donner à un utilisateur la possibilité de transférer des données, mais limiter sa capacité à créer de nouvelles instances EC2 compatibles avec Amazon.

En outre, vous pouvez créer des informations d'identification locales basées sur les sessions à l'aide de AWS Security Token Service (AWS STS) sur votre appareil. Pour plus d'informations sur le IAM service, reportez-vous à la section Mise en route du guide de IAM l'utilisateur.

Les informations d'identification root de votre appareil ne peuvent pas être désactivées, et vous ne pouvez pas utiliser les politiques de votre compte pour refuser explicitement l'accès à l'utilisateur Compte AWS root. Nous vous recommandons de sécuriser vos clés d'accès utilisateur root et de créer des IAM informations d'identification pour les interactions quotidiennes avec votre appareil.

Important

La documentation de cette section s'applique à l'utilisation IAM locale sur un appareil AWS Snowball Edge. Pour plus d'informations sur l'utilisation IAM dans le AWS Cloud, voirIdentity and Access Management dans AWS Snowball.

Pour que les AWS services fonctionnent correctement sur un Snowball Edge, vous devez autoriser les ports pour les services. Pour plus de détails, consultez Exigences relatives aux ports pour AWS les services sur un appareil Snow Family.

Utilisation des API opérations AWS CLI et sur un Snowball Edge

Lorsque vous utilisez les API opérations AWS CLI or pour émettre IAM AWS STS des EC2 commandes Amazon S3 et Amazon sur Snowball Edge, vous devez spécifier region le « »snow. Vous pouvez le faire à l'aide aws configure ou au sein de la commande elle-même, comme dans les exemples suivants.


aws configure --profile abc
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: 1234567
Default region name [None]: snow
Default output format [None]: json

Ou


aws iam list-users --profile snowballEdge --endpoint http://192.0.2.0:6078 --region snow
Note

L'ID de clé d'accès et la clé secrète d'accès utilisés localement sur AWS Snowball Edge ne peuvent pas être échangés avec les clés du AWS Cloud.

Liste des IAM AWS CLI commandes prises en charge sur un Snowball Edge

Vous trouverez ci-dessous une description du sous-ensemble de AWS CLI commandes et d'options prises en charge sur IAM les appareils Snowball Edge. Si une commande ou une option n'est pas répertoriée ci-dessous, elle n'est pas prise en charge. Les paramètres non pris en charge pour les commandes sont indiqués dans la description.

  • attach-role-policy— Attache la politique gérée spécifiée au IAM rôle spécifié.

  • attach-user-policy— Attache la politique gérée spécifiée à l'utilisateur spécifié.

  • create-access-key— Crée une nouvelle clé d'accès IAM secrète locale et l'ID de clé d' AWS accès correspondant pour l'utilisateur spécifié.

  • create-policy — Crée une nouvelle politique IAM gérée pour votre appareil.

  • create-role — Crée un nouveau IAM rôle local pour votre appareil. Les paramètres suivants ne sont pas pris en charge :

    • Tags

    • PermissionsBoundary

  • create-user — Crée un nouvel IAM utilisateur local pour votre appareil. Les paramètres suivants ne sont pas pris en charge :

    • Tags

    • PermissionsBoundary

  • delete-access-key— Supprime une nouvelle clé d'accès IAM secrète locale et l'ID de clé AWS d'accès correspondant pour l'utilisateur spécifié.

  • delete-policy — Supprime la politique gérée spécifiée.

  • delete-role — Supprime le rôle spécifié.

  • delete-user — Supprime l'utilisateur spécifié.

  • detach-role-policy— Supprime la politique gérée spécifiée du rôle spécifié.

  • detach-user-policy— Supprime la politique gérée spécifiée pour l'utilisateur spécifié.

  • get-policy — Récupère des informations sur la politique gérée spécifiée, notamment la version par défaut de la politique et le nombre total d'IAMutilisateurs, de groupes et de rôles locaux auxquels la politique est attachée.

  • get-policy-version— Récupère les informations relatives à la version spécifiée de la politique gérée spécifiée, y compris le document de politique.

  • get-role — Récupère des informations sur le rôle spécifié, y compris le chemin du rôle, GUIDARN, et la politique de confiance du rôle qui accorde l'autorisation d'assumer le rôle.

  • get-user — Récupère des informations sur l'IAMutilisateur spécifié, notamment sa date de création, son chemin, son identifiant unique et. ARN

  • list-access-keys— Renvoie des informations sur la clé d'accès IDs associée à l'IAMutilisateur spécifié.

  • list-attached-role-policies— Répertorie toutes les politiques gérées associées au IAM rôle spécifié.

  • list-attached-user-policies— Répertorie toutes les politiques gérées associées à l'IAMutilisateur spécifié.

  • list-entities-for-policy— Répertorie tous les IAM utilisateurs, groupes et rôles locaux auxquels la politique gérée spécifiée est attachée.

    • --EntityFilter : seules les valeurs user et role sont prises en charge.

  • list-policies — Répertorie toutes les politiques gérées disponibles dans votre région. Compte AWS Le paramètre suivant n'est pas pris en charge :

    • --PolicyUsageFilter

  • list-roles — Répertorie les IAM rôles locaux dotés du préfixe de chemin spécifié.

  • list-users — Répertorie les IAM utilisateurs qui ont le préfixe de chemin spécifié.

  • update-access-key— Fait passer le statut de la clé d'accès spécifiée d'Actif à Inactif, ou vice versa.

  • update-assume-role-policy— Met à jour la politique qui accorde à une IAM entité l'autorisation d'assumer un rôle.

  • update-role — Met à jour la description ou le paramètre de durée maximale de session d'un rôle.

  • update-user — Met à jour le nom et/ou le chemin de l'utilisateur spécifiéIAM.

IAMAPIOpérations prises en charge sur les appareils de la gamme Snow

Vous trouverez ci-dessous les IAM API opérations que vous pouvez utiliser avec un Snowball Edge, avec des liens vers leurs descriptions dans la IAM API référence.

  • AttachRolePolicy— Attache la politique gérée spécifiée au IAM rôle spécifié.

  • AttachUserPolicy— Attache la politique gérée spécifiée à l'utilisateur spécifié.

  • CreateAccessKey— Crée une nouvelle clé d'accès IAM secrète locale et l'ID de clé d' AWS accès correspondant pour l'utilisateur spécifié.

  • CreatePolicy— Crée une nouvelle politique IAM gérée pour votre appareil.

  • CreateRole— Crée un nouveau IAM rôle local pour votre appareil.

  • CreateUser— Crée un nouvel IAM utilisateur local pour votre appareil.

    Les paramètres suivants ne sont pas pris en charge :

    • Tags

    • PermissionsBoundary

  • DeleteAccessKey— Supprime la clé d'accès spécifiée.

  • DeletePolicy— Supprime la politique gérée spécifiée.

  • DeleteRole— Supprime le rôle spécifié.

  • DeleteUser— Supprime l'utilisateur spécifié.

  • DetachRolePolicy— Supprime la politique gérée spécifiée du rôle spécifié.

  • DetachUserPolicy— Supprime la politique gérée spécifiée pour l'utilisateur spécifié.

  • GetPolicy— Récupère des informations sur la politique gérée spécifiée, notamment la version par défaut de la politique et le nombre total d'IAMutilisateurs, de groupes et de rôles locaux auxquels la politique est attachée.

  • GetPolicyVersion— Récupère les informations relatives à la version spécifiée de la politique gérée spécifiée, y compris le document de politique.

  • GetRole— Récupère des informations sur le rôle spécifié, y compris le chemin du rôle, GUIDARN, et la politique de confiance du rôle qui accorde l'autorisation d'assumer le rôle.

  • GetUser— Récupère des informations sur l'IAMutilisateur spécifié, notamment sa date de création, son chemin, son identifiant unique etARN.

  • ListAccessKeys— Renvoie des informations sur la clé d'accès IDs associée à l'IAMutilisateur spécifié.

  • ListAttachedRolePolicies— Répertorie toutes les politiques gérées associées au IAM rôle spécifié.

  • ListAttachedUserPolicies— Répertorie toutes les politiques gérées associées à l'IAMutilisateur spécifié.

  • ListEntitiesForPolicy— Récupère des informations sur l'IAMutilisateur spécifié, notamment sa date de création, son chemin, son identifiant unique etARN.

    • --EntityFilter : seules les valeurs user et role sont prises en charge.

  • ListPolicies— Répertorie toutes les politiques gérées disponibles dans votre région Compte AWS. Le paramètre suivant n'est pas pris en charge :

    • --PolicyUsageFilter

  • ListRoles— Répertorie les IAM rôles locaux dotés du préfixe de chemin spécifié.

  • ListUsers— Liste les IAM utilisateurs possédant le préfixe de chemin spécifié.

  • UpdateAccessKey— Fait passer le statut de la clé d'accès spécifiée d'Actif à Inactif, ou vice versa.

  • UpdateAssumeRolePolicy— Met à jour la politique qui accorde à une IAM entité l'autorisation d'assumer un rôle.

  • UpdateRole— Met à jour la description ou le paramètre de durée maximale de session d'un rôle.

  • UpdateUser— Met à jour le nom et/ou le chemin de l'IAMutilisateur spécifié.

Version IAM de politique et grammaire prises en charge sur les appareils Snow Family

Vous trouverez ci-dessous la version de IAM support local 2012-10-17 de la IAM politique et un sous-ensemble de la grammaire de la politique.

Type de stratégie Grammaire prise en charge
Stratégies basées sur l'identité (stratégie utilisateur/rôle) « Effect », « Action » et « Resource »
Note

Local IAM ne prend pas en charge les options NotAction « », « », NotResource « » et « Principal ». Condition

Stratégies basées sur les ressources (stratégie d'approbation de rôle) « Effect », « Action » et « Principal »
Note

Pour le principal, seul Compte AWS l'identifiant ou l'identifiant principal est autorisé.

IAMexemples de politiques sur les appareils Snow Family

Note

AWS Identity and Access Management (IAM) les utilisateurs ont besoin d'"snowballdevice:*"autorisations pour utiliser l'AWS OpsHub for Snow Family application afin de gérer les appareils Snow Family.

Voici des exemples de politiques qui accordent des autorisations à un appareil Snowball Edge.

Autoriser l' GetUser appel pour un exemple d'utilisateur sur un appareil Snow Family via IAM API

Utilisez la politique suivante pour autoriser l' GetUser appel d'un exemple d'utilisateur via le IAMAPI.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "iam:GetUser",
            "Resource": "arn:aws:iam:::user/example-user"
        }
    ]
}

Autoriser l'accès complet à Amazon S3 API sur un appareil Snow Family

Utilisez la politique suivante pour autoriser un accès complet à Amazon S3API.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": "*"
            
        }
    ]
}

Autoriser l'accès en lecture et en écriture à un compartiment Amazon S3 sur un appareil de la famille Snow

Utilisez la stratégie suivante pour autoriser l'accès en lecture et en écriture à un compartiment spécifique.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::bucket-name"
        },
        {
            "Sid": "AllObjectActions",
            "Effect": "Allow",
            "Action": "s3:*Object",
            "Resource": "arn:aws:s3:::bucket-name/*"
        }
    ]
}

Autoriser la création de listes, l'obtention et l'accès à un compartiment Amazon S3 sur un appareil de la gamme Snow Family

Utilisez la politique suivante pour autoriser l'accès List, Get Put à un compartiment S3 spécifique.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:List*"
            ],
            "Resource": "arn:aws:s3:::examplebucket/*"
        }
    ]
}

Autoriser l'accès complet à Amazon EC2 API sur un appareil Snow Family

Utilisez la politique suivante pour autoriser un accès complet à AmazonEC2.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:*",
            "Resource": "*"
        }
    ]
}

Autoriser l'accès pour démarrer et arrêter des instances EC2 compatibles avec Amazon sur un appareil Snow Family

Utilisez la politique suivante pour autoriser l'accès au démarrage et à l'arrêt EC2 des instances Amazon.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*"
        }
    ]
}

Refuser les appels vers un appareil Snow Family DescribeLaunchTemplates mais autoriser tous les appels DescribeImages sur un appareil Snow Family

Utilisez la stratégie suivante pour refuser les appels à DescribeLaunchTemplates mais autoriser tous les appels à DescribeImages.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ec2:DescribeLaunchTemplates"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages"
            ],
            "Resource": "*"
        }
    ]
}

Politique relative aux API appels sur un appareil Snow Family

Répertorie toutes les politiques gérées disponibles sur votre appareil Snow, y compris les politiques gérées définies par le client. Plus de détails dans list-policies.

aws iam list-policies --endpoint http://ip-address:6078 --profile snowballEdge --region snow
{
    "Policies": [
        {
            "PolicyName": "Administrator",
            "Description": "Root user admin policy for Account 123456789012",
            "CreateDate": "2020-03-04T17:44:59.412Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "policy-id",
            "DefaultVersionId": "v1",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:policy/Administrator",
            "UpdateDate": "2020-03-04T19:10:45.620Z"
        }
    ]
}

TrustPolicy exemple sur un appareil Snow Family

Une politique de confiance renvoie un ensemble d'informations d'identification de sécurité temporaires que vous pouvez utiliser pour accéder à AWS des ressources auxquelles vous n'avez normalement pas accès. Ces informations d'identification temporaires incluent un ID de clé d'accès, une clé d'accès secrète et un jeton de sécurité. Généralement, vous utilisez AssumeRole dans votre compte pour les accès inter-comptes.

Voici un exemple de stratégie d'approbation. Pour plus d'informations sur la politique de confiance, voir AssumeRolela AWS Security Token Service APIréférence.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::AccountId:root" //You can use the Principal ID instead of the account ID. 
                ]
            },
            "Action": [
                "sts:AssumeRole"
            ]
        }
    ]
}