Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan Kebijakan Berbasis Identitas (Kebijakan) IAM untuk AWS Snowball
Topik ini memberikan contoh kebijakan berbasis identitas yang menunjukkan cara administrator akun dapat melampirkan kebijakan izin ke IAM identitas (yaitu, pengguna, grup, dan peran). Kebijakan ini dengan demikian memberikan izin untuk melakukan operasi pada AWS Snowball sumber daya di. AWS Cloud
penting
Kami menyarankan Anda untuk terlebih dahulu meninjau topik pendahuluan yang menjelaskan konsep dasar dan pilihan yang tersedia untuk mengelola akses ke sumber daya AWS Snowball Anda. Untuk informasi selengkapnya, lihat Ikhtisar Mengelola Izin Akses ke Sumber Daya Anda di AWS Cloud.
Bagian dalam topik ini membahas hal berikut:
Berikut adalah contoh kebijakan izin.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*", "importexport:*" ], "Resource": "*" } ] }
Kebijakan tersebut memiliki dua pernyataan:
-
Pernyataan pertama memberikan izin untuk tiga tindakan Amazon S3
s3:GetBucketLocation(s3:GetObject,,s3:ListBucketdan) di semua bucket Amazon S3 menggunakan Amazon Resource Name () dari. ARNarn:aws:s3:::*ARNMenentukan karakter wildcard (*) sehingga pengguna dapat memilih salah satu atau semua bucket Amazon S3 untuk mengekspor data. -
Pernyataan kedua memberikan izin untuk semua AWS Snowball tindakan. Karena tindakan ini tidak mendukung izin tingkat sumber daya, kebijakan menentukan karakter wildcard (*) dan nilai
Resourcejuga menentukan karakter wild card.
Kebijakan tidak menyebutkan elemen Principal karena dalam kebijakan berbasis identitas, Anda tidak menyebutkan penanggung jawab yang mendapatkan izin. Saat Anda melampirkan kebijakan kepada pengguna, pengguna adalah penanggung jawab implisit. Saat Anda melampirkan kebijakan izin ke IAM peran, prinsipal yang diidentifikasi dalam kebijakan kepercayaan peran akan mendapatkan izin.
Untuk tabel yang menunjukkan semua API tindakan manajemen AWS Snowball pekerjaan dan sumber daya yang mereka terapkan, lihatAWS Snowball APIIzin: Referensi Tindakan, Sumber Daya, dan Ketentuan.
Izin yang Diperlukan untuk Menggunakan Konsol AWS Snowball
Tabel referensi izin mencantumkan API operasi manajemen AWS Snowball pekerjaan dan menunjukkan izin yang diperlukan untuk setiap operasi. Untuk informasi selengkapnya tentang API operasi manajemen pekerjaan, lihatAWS Snowball APIIzin: Referensi Tindakan, Sumber Daya, dan Ketentuan.
Untuk menggunakan Konsol Manajemen AWS Snow Family, Anda perlu memberikan izin untuk tindakan tambahan seperti yang ditunjukkan dalam kebijakan izin berikut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetBucketPolicy", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListAllMyBuckets" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "lambda:GetFunction", "lambda:GetFunctionConfiguration" ], "Resource": "arn:aws:lambda:*::function:*" }, { "Effect": "Allow", "Action": [ "lambda:ListFunctions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:GenerateDataKey", "kms:Decrypt", "kms:Encrypt", "kms:RetireGrant", "kms:ListKeys", "kms:DescribeKey", "kms:ListAliases" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreatePolicy", "iam:CreateRole", "iam:ListRoles", "iam:ListRolePolicies", "iam:PutRolePolicy" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "importexport.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:ModifyImageAttribute" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:ListTopics", "sns:GetTopicAttributes", "sns:SetTopicAttributes", "sns:ListSubscriptionsByTopic", "sns:Subscribe" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "greengrass:getServiceRoleForAccount" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] } ] }
AWS Snowball Konsol memerlukan izin tambahan ini karena alasan berikut:
-
ec2:— Ini memungkinkan pengguna untuk mendeskripsikan instans EC2 yang kompatibel dengan Amazon dan memodifikasi atributnya untuk tujuan komputasi lokal. Untuk informasi selengkapnya, lihat Menggunakan instans komputasi EC2 yang kompatibel dengan Amazon di perangkat Snow Family. -
kms:— Ini memungkinkan pengguna untuk membuat atau memilih KMS kunci yang akan mengenkripsi data Anda. Untuk informasi selengkapnya, lihat AWS Key Management Service di AWS Snowball Edge. -
iam:— Ini memungkinkan pengguna untuk membuat atau memilih IAM peran ARN yang AWS Snowball akan diasumsikan untuk mengakses AWS sumber daya yang terkait dengan penciptaan dan pemrosesan lapangan kerja. -
sns:— Ini memungkinkan pengguna untuk membuat atau memilih SNS pemberitahuan Amazon untuk pekerjaan yang mereka buat. Untuk informasi selengkapnya, lihat Pemberitahuan untuk perangkat Keluarga Salju.
