Contoh 1: Kebijakan Peran yang Memungkinkan Pengguna Membuat Job untuk memesan perangkat Keluarga Salju dengan API Contoh 2: Kebijakan Peran untuk Membuat Tugas Impor Contoh 3: Kebijakan Peran untuk Membuat Tugas Ekspor Contoh 4: Izin Peran yang Diharapkan dan Kebijakan Kepercayaan Referensi API Izin Manajemen Pekerjaan

Contoh Kebijakan yang Dikelola Pelanggan

Di bagian ini, Anda dapat menemukan contoh kebijakan pengguna yang memberikan izin untuk berbagai tindakan manajemen AWS Snowball pekerjaan. Kebijakan ini berfungsi saat Anda menggunakan AWS SDKs atau AWS CLI. Saat menggunakan konsol, Anda perlu memberikan izin tambahan yang khusus untuk konsol, yang dibahas dalam Izin Diperlukan untuk Menggunakan Konsol AWS Snowball.

catatan

Semua contoh menggunakan wilayah us-west-2 dan berisi akun fiktif. IDs

Contoh

Contoh 1: Kebijakan Peran yang Memungkinkan Pengguna Membuat Job untuk memesan perangkat Keluarga Salju dengan API
Contoh 2: Kebijakan Peran untuk Membuat Tugas Impor
Contoh 3: Kebijakan Peran untuk Membuat Tugas Ekspor
Contoh 4: Izin Peran yang Diharapkan dan Kebijakan Kepercayaan
AWS Snowball APIIzin: Referensi Tindakan, Sumber Daya, dan Ketentuan

Contoh 1: Kebijakan Peran yang Memungkinkan Pengguna Membuat Job untuk memesan perangkat Keluarga Salju dengan API

Kebijakan izin berikut adalah komponen penting dari kebijakan apa pun yang digunakan untuk memberikan izin pembuatan lowongan atau klaster menggunakan manajemen API pekerjaan. Pernyataan itu diperlukan sebagai pernyataan kebijakan Trust Relationship untuk peran SnowballIAM.



{
    "Version": "2012-10-17",
    "Statement": [
    {
         "Effect": "Allow",
         "Principal": {
         "Service": "importexport.amazonaws.com"
    },
    "Action": "sts:AssumeRole"
    }
    ]
}

Contoh 2: Kebijakan Peran untuk Membuat Tugas Impor

Anda menggunakan kebijakan kepercayaan peran berikut untuk membuat pekerjaan impor untuk Snowball Edge yang menggunakan fungsi yang AWS Lambda didukung oleh AWS IoT Greengrass .



                    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketPolicy",
                "s3:GetBucketLocation",
                "s3:ListBucketMultipartUploads",
                "s3:ListBucket",
                "s3:HeadBucket",
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts",
                "s3:PutObjectAcl",
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "snowball:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iot:AttachPrincipalPolicy",
                "iot:AttachThingPrincipal",
                "iot:CreateKeysAndCertificate",
                "iot:CreatePolicy",
                "iot:CreateThing",
                "iot:DescribeEndpoint",
                "iot:GetPolicy"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "lambda:GetFunction"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "greengrass:CreateCoreDefinition",
                "greengrass:CreateDeployment",
                "greengrass:CreateDeviceDefinition",
                "greengrass:CreateFunctionDefinition",
                "greengrass:CreateGroup",
                "greengrass:CreateGroupVersion",
                "greengrass:CreateLoggerDefinition",
                "greengrass:CreateSubscriptionDefinition",
                "greengrass:GetDeploymentStatus",
                "greengrass:UpdateGroupCertificateConfiguration",
                "greengrass:CreateGroupCertificateAuthority",
                "greengrass:GetGroupCertificateAuthority",
                "greengrass:ListGroupCertificateAuthorities",
                "greengrass:ListDeployments", 
                "greengrass:GetGroup", 
                "greengrass:GetGroupVersion", 
                "greengrass:GetCoreDefinitionVersion"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Contoh 3: Kebijakan Peran untuk Membuat Tugas Ekspor

Anda menggunakan kebijakan kepercayaan peran berikut untuk membuat pekerjaan ekspor untuk Snowball Edge yang menggunakan fungsi yang AWS Lambda didukung oleh AWS IoT Greengrass .



                    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
           "Effect": "Allow",
           "Action": [
                "snowball:*"
           ],
           "Resource": [
                "*"
           ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iot:AttachPrincipalPolicy",
                "iot:AttachThingPrincipal",
                "iot:CreateKeysAndCertificate",
                "iot:CreatePolicy",
                "iot:CreateThing",
                "iot:DescribeEndpoint",
                "iot:GetPolicy"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "lambda:GetFunction"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "greengrass:CreateCoreDefinition",
                "greengrass:CreateDeployment",
                "greengrass:CreateDeviceDefinition",
                "greengrass:CreateFunctionDefinition",
                "greengrass:CreateGroup",
                "greengrass:CreateGroupVersion",
                "greengrass:CreateLoggerDefinition",
                "greengrass:CreateSubscriptionDefinition",
                "greengrass:GetDeploymentStatus",
                "greengrass:UpdateGroupCertificateConfiguration",
                "greengrass:CreateGroupCertificateAuthority",
                "greengrass:GetGroupCertificateAuthority",
                "greengrass:ListGroupCertificateAuthorities",
                "greengrass:ListDeployments", 
                "greengrass:GetGroup", 
                "greengrass:GetGroupVersion", 
                "greengrass:GetCoreDefinitionVersion"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Contoh 4: Izin Peran yang Diharapkan dan Kebijakan Kepercayaan

Kebijakan izin peran yang diharapkan berikut diperlukan untuk peran layanan yang ada untuk digunakan. Ini adalah pengaturan satu kali.


{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Effect": "Allow",
            "Action": "sns:Publish",
            "Resource": ["[[snsArn]]"]
        },
        {
            "Effect": "Allow",
            "Action":
            [
                "cloudwatch:ListMetrics",
                "cloudwatch:GetMetricData",
                "cloudwatch:PutMetricData"
            ],
            "Resource":
            [
                "*"
            ],
            "Condition": {
                    "StringEquals": {
                        "cloudwatch:namespace": "AWS/SnowFamily"
                    }
            }
        }
    ]
}

Kebijakan kepercayaan peran yang diharapkan berikut diperlukan untuk peran layanan yang ada untuk digunakan. Ini adalah pengaturan satu kali.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "importexport.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

AWS Snowball APIIzin: Referensi Tindakan, Sumber Daya, dan Ketentuan

Saat menyiapkan Access Control di AWS Cloud dan menulis kebijakan izin yang dapat dilampirkan ke IAM identitas (kebijakan berbasis identitas), Anda dapat menggunakan tabel berikut sebagai referensi. Tabel berikut setiap API operasi manajemen AWS Snowball pekerjaan dan tindakan terkait yang dapat Anda berikan izin untuk melakukan tindakan. Ini juga termasuk untuk setiap API operasi AWS sumber daya yang dapat Anda berikan izin. Anda menentukan tindakan dalam bidang Action kebijakan, dan Anda menentukan nilai sumber daya pada bidang Resource kebijakan.

Anda dapat menggunakan kunci kondisi AWS-wide dalam AWS Snowball kebijakan Anda untuk menyatakan kondisi. Untuk daftar lengkap tombol AWS-wide, lihat Kunci yang Tersedia di Panduan IAM Pengguna.

catatan

Untuk menentukan tindakan, gunakan snowball: awalan diikuti dengan nama API operasi (misalnya,snowball:CreateJob).

Gunakan bilah gulir untuk melihat seluruh tabel.

AWS Snowball Manajemen Job API dan Izin yang Diperlukan untuk Tindakan
APITindakan Manajemen Job	Izin yang Diperlukan
CancelCluster	`snowball:CancelCluster`
CancelJob	`snowball:CancelJob`
CreateAddress	`snowball:CreateAddress`
CreateCluster	Tindakan ini memerlukan izin berikut: Izin konsol lengkap di Izin Diperlukan untuk Menggunakan Konsol AWS Snowball Izin tambahan API -only di Contoh 1: Kebijakan Peran yang Memungkinkan Pengguna Membuat Job untuk memesan perangkat Keluarga Salju dengan API `snowball:CreateCluster`
CreateJob	Izin konsol lengkap di Izin Diperlukan untuk Menggunakan Konsol AWS Snowball Izin tambahan API -only di Contoh 1: Kebijakan Peran yang Memungkinkan Pengguna Membuat Job untuk memesan perangkat Keluarga Salju dengan API `snowball:CreateJob`
DescribeAddress	`snowball:DescribeAddress`
DescribeAddresses	`snowball:DescribeAddresses`
DescribeCluster	`snowball:DescribeCluster`
DescribeJob	`snowball:DescribeJob`
GetJobManifest	`snowball:GetJobManifest`
GetJobUnlockCode	`snowball:GetJobUnlockCode`
GetSnowballUsage	`snowball:GetSnowballUsage`
ListClusterJobs	`snowball:ListClusterJobs`
ListClusters	`snowball:ListClusters`
ListJobs	`snowball:ListJobs`
UpdateCluster	`snowball:UpdateCluster`
UpdateJob	`snowball:UpdateJob`

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menggunakan Kebijakan Berbasis Identitas (Kebijakan) IAM

Pembuatan Log dan Pemantauan