Menggunakan AWS CLI dan API Operasi IAM AWS CLI Perintah yang Didukung IAMcontoh kebijakan pada perangkat Keluarga Salju TrustPolicy contoh pada perangkat Keluarga Salju

Menggunakan IAM secara lokal pada perangkat Keluarga Salju

AWS Identity and Access Management (IAM) membantu Anda mengontrol akses ke AWS sumber daya yang berjalan di AWS Snowball Edge perangkat dengan aman. Anda gunakan IAM untuk mengontrol siapa yang diautentikasi (masuk) dan diberi wewenang (memiliki izin) untuk menggunakan sumber daya.

IAMdidukung secara lokal di perangkat Anda. Anda dapat menggunakan IAM layanan lokal untuk membuat pengguna baru dan melampirkan IAM kebijakan kepada mereka. Anda dapat menggunakan kebijakan ini untuk mengizinkan akses yang diperlukan untuk melakukan tugas yang ditetapkan. Misalnya, Anda dapat memberi pengguna kemampuan untuk mentransfer data, tetapi membatasi kemampuan mereka untuk membuat instance baru EC2 yang kompatibel dengan Amazon.

Selain itu, Anda dapat membuat kredensial lokal berbasis sesi menggunakan AWS Security Token Service (AWS STS) di perangkat Anda. Untuk informasi tentang IAM layanan, lihat Memulai di Panduan IAM Pengguna.

Kredensi root perangkat Anda tidak dapat dinonaktifkan, dan Anda tidak dapat menggunakan kebijakan dalam akun Anda untuk secara eksplisit menolak akses ke pengguna root. Akun AWS Kami menyarankan Anda mengamankan kunci akses pengguna root Anda dan membuat kredensi IAM pengguna untuk interaksi sehari-hari dengan perangkat Anda.

penting

Dokumentasi di bagian ini berlaku untuk menggunakan IAM secara lokal pada perangkat AWS Snowball Edge. Untuk informasi tentang penggunaan IAM di AWS Cloud, lihatIdentity and Access Management di AWS Snowball.

Agar AWS layanan berfungsi dengan baik di Snowball Edge, Anda harus mengizinkan port untuk layanan tersebut. Untuk detailnya, lihat Persyaratan port untuk AWS layanan pada perangkat Keluarga Salju.

Topik

Menggunakan AWS CLI dan API Operasi di Tepi Snowball
Daftar IAM AWS CLI Perintah yang Didukung di Tepi Snowball
IAMcontoh kebijakan pada perangkat Keluarga Salju
TrustPolicy contoh pada perangkat Keluarga Salju

Menggunakan AWS CLI dan API Operasi di Tepi Snowball

Saat menggunakan AWS CLI atau API operasi untuk mengeluarkan IAM AWS STS, EC2 perintah Amazon S3, dan Amazon di Snowball Edge, Anda harus menentukan sebagai ".” region snow Anda dapat melakukan ini menggunakan aws configure atau di dalam perintah itu sendiri, seperti pada contoh berikut.



aws configure --profile abc
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: 1234567
Default region name [None]: snow
Default output format [None]: json

Atau



aws iam list-users --profile snowballEdge --endpoint http://192.0.2.0:6078 --region snow

catatan

ID kunci akses dan kunci rahasia akses yang digunakan secara lokal di AWS Snowball Edge tidak dapat dipertukarkan dengan kunci di. AWS Cloud

Daftar IAM AWS CLI Perintah yang Didukung di Tepi Snowball

Berikut ini adalah deskripsi subset AWS CLI perintah dan opsi untuk IAM yang didukung pada perangkat Snowball Edge. Jika perintah atau opsi tidak tercantum berikut, perintah tersebut tidak didukung. Parameter yang tidak didukung untuk perintah tertulis di deskripsi.

attach-role-policy— Melampirkan kebijakan terkelola yang ditentukan ke IAM peran yang ditentukan.
attach-user-policy— Melampirkan kebijakan terkelola yang ditentukan ke pengguna yang ditentukan.
create-access-key— Membuat kunci akses IAM rahasia lokal baru dan ID kunci AWS akses yang sesuai untuk pengguna yang ditentukan.
create-policy — Membuat kebijakan IAM terkelola baru untuk perangkat Anda.
create-role — Membuat IAM peran lokal baru untuk perangkat Anda. Parameter berikut ini tidak didukung:
- Tags
- PermissionsBoundary
create-user — Membuat IAM pengguna lokal baru untuk perangkat Anda. Parameter berikut ini tidak didukung:
- Tags
- PermissionsBoundary
delete-access-key— Menghapus kunci akses IAM rahasia lokal baru dan ID kunci AWS akses yang sesuai untuk pengguna yang ditentukan.
delete-policy – Menghapus kebijakan terkelola yang ditentukan.
delete-role – Menghapus peran tertentu.
delete-user – Menghapus pengguna tertentu.
detach-role-policy— Menghapus kebijakan terkelola yang ditentukan dari peran yang ditentukan.
detach-user-policy— Menghapus kebijakan terkelola yang ditentukan dari pengguna yang ditentukan.
get-policy — Mengambil informasi tentang kebijakan terkelola yang ditentukan, termasuk versi default kebijakan dan jumlah total IAM pengguna, grup, dan peran lokal yang dilampirkan kebijakan tersebut.
get-policy-version— Mengambil informasi tentang versi tertentu dari kebijakan terkelola yang ditentukan, termasuk dokumen kebijakan.
get-role — Mengambil informasi tentang peran yang ditentukan, termasuk jalur peran, GUIDARN, dan kebijakan kepercayaan peran yang memberikan izin untuk mengambil peran tersebut.
get-user — Mengambil informasi tentang IAM pengguna yang ditentukan, termasuk tanggal pembuatan pengguna, jalur, ID unik, dan. ARN
list-access-keys— Mengembalikan informasi tentang kunci akses IDs yang terkait dengan IAM pengguna tertentu.
list-attached-role-policies— Daftar semua kebijakan terkelola yang dilampirkan pada IAM peran yang ditentukan.
list-attached-user-policies— Daftar semua kebijakan terkelola yang dilampirkan ke IAM pengguna yang ditentukan.
list-entities-for-policy— Mencantumkan semua IAM pengguna, grup, dan peran lokal yang dilampirkan pada kebijakan terkelola yang ditentukan.
- --EntityFilter: Hanya nilai user dan role yang didukung.
daftar-kebijakan — Daftar semua kebijakan terkelola yang tersedia di lokal Anda. Akun AWS Parameter berikut ini tidak didukung:
- --PolicyUsageFilter
list-role — Daftar IAM peran lokal yang memiliki awalan jalur yang ditentukan.
list-users - Daftar IAM pengguna yang memiliki awalan jalur yang ditentukan.
update-access-key— Mengubah status kunci akses yang ditentukan dari Aktif ke Tidak Aktif, atau sebaliknya.
update-assume-role-policy— Memperbarui kebijakan yang memberikan izin IAM entitas untuk mengambil peran.
update-role – Memperbarui deskripsi atau pengaturan durasi sesi maksimum dari peran.
update-user - Memperbarui nama dan/atau jalur pengguna yang ditentukan. IAM

IAMAPIOperasi yang didukung pada perangkat Snow Family

Berikut ini adalah IAM API operasi yang dapat Anda gunakan dengan Snowball Edge, dengan tautan ke deskripsi mereka di Referensi. IAM API

AttachRolePolicy— Melampirkan kebijakan terkelola yang ditentukan ke IAM peran yang ditentukan.
AttachUserPolicy— Melampirkan kebijakan terkelola yang ditentukan ke pengguna yang ditentukan.
CreateAccessKey— Membuat kunci akses IAM rahasia lokal baru dan ID kunci AWS akses yang sesuai untuk pengguna yang ditentukan.
CreatePolicy— Membuat kebijakan IAM terkelola baru untuk perangkat Anda.
CreateRole— Membuat IAM peran lokal baru untuk perangkat Anda.
CreateUser— Membuat IAM pengguna lokal baru untuk perangkat Anda.

Parameter berikut ini tidak didukung:
- Tags
- PermissionsBoundary
DeleteAccessKey— Menghapus kunci akses yang ditentukan.
DeletePolicy— Menghapus kebijakan terkelola yang ditentukan.
DeleteRole— Menghapus peran yang ditentukan.
DeleteUser— Menghapus pengguna yang ditentukan.
DetachRolePolicy— Menghapus kebijakan terkelola yang ditentukan dari peran yang ditentukan.
DetachUserPolicy— Menghapus kebijakan terkelola yang ditentukan dari pengguna yang ditentukan.
GetPolicy— Mengambil informasi tentang kebijakan terkelola yang ditentukan, termasuk versi default kebijakan dan jumlah total IAM pengguna lokal, grup, dan peran yang dilampirkan kebijakan tersebut.
GetPolicyVersion— Mengambil informasi tentang versi tertentu dari kebijakan terkelola yang ditentukan, termasuk dokumen kebijakan.
GetRole— Mengambil informasi tentang peran yang ditentukan, termasuk jalur peran,, GUIDARN, dan kebijakan kepercayaan peran yang memberikan izin untuk mengambil peran tersebut.
GetUser— Mengambil informasi tentang IAM pengguna yang ditentukan, termasuk tanggal pembuatan pengguna, jalur, ID unik, danARN.
ListAccessKeys— Mengembalikan informasi tentang kunci akses IDs yang terkait dengan IAM pengguna tertentu.
ListAttachedRolePolicies— Daftar semua kebijakan terkelola yang dilampirkan pada IAM peran yang ditentukan.
ListAttachedUserPolicies— Daftar semua kebijakan terkelola yang dilampirkan ke IAM pengguna yang ditentukan.
ListEntitiesForPolicy— Mengambil informasi tentang IAM pengguna yang ditentukan, termasuk tanggal pembuatan pengguna, jalur, ID unik, danARN.
- --EntityFilter: Hanya nilai user dan role yang didukung.
ListPolicies— Daftar semua kebijakan terkelola yang tersedia di lokal Anda Akun AWS. Parameter berikut ini tidak didukung:
- --PolicyUsageFilter
ListRoles— Daftar IAM peran lokal yang memiliki awalan jalur yang ditentukan.
ListUsers— Daftar IAM pengguna yang memiliki awalan jalur yang ditentukan.
UpdateAccessKey— Mengubah status kunci akses yang ditentukan dari Aktif ke Tidak Aktif, atau sebaliknya.
UpdateAssumeRolePolicy— Memperbarui kebijakan yang memberikan izin IAM entitas untuk mengambil peran.
UpdateRole— Memperbarui deskripsi atau pengaturan durasi sesi maksimum peran.
UpdateUser— Memperbarui nama dan/atau jalur IAM pengguna yang ditentukan.

Versi IAM kebijakan dan tata bahasa yang didukung di perangkat Keluarga Salju

Berikut ini adalah versi IAM dukungan lokal 2012-10-17 dari IAM kebijakan dan subset dari tata bahasa kebijakan.

Jenis kebijakan	Tata bahasa yang didukung
Kebijakan berbasis identitas (kebijakan pengguna/peran)	"`Effect`", "`Action`" dan "`Resource`" catatan Lokal IAM tidak mendukung "`Condition`“," `NotAction` “," `NotResource` "dan"`Principal`”.
Kebijakan berbasis sumber daya (kebijakan kepercayaan peran)	"`Effect`", "`Action`" dan "`Principal`" catatan Untuk Principal, hanya Akun AWS ID atau ID pokok yang diizinkan.

IAMcontoh kebijakan pada perangkat Keluarga Salju

catatan

AWS Identity and Access Management (IAM) pengguna memerlukan "snowballdevice:*" izin untuk menggunakan AWS OpsHub for Snow Family aplikasi untuk mengelola perangkat Keluarga Salju.

Berikut ini adalah contoh kebijakan yang memberikan izin untuk perangkat Snowball Edge.

Mengizinkan GetUser panggilan untuk pengguna sampel pada perangkat Keluarga Salju melalui IAM API

Gunakan kebijakan berikut untuk mengizinkan GetUser panggilan untuk pengguna sampel melalui IAMAPI.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "iam:GetUser",
            "Resource": "arn:aws:iam:::user/example-user"
        }
    ]
}

Mengizinkan akses penuh ke Amazon S3 API pada perangkat Keluarga Salju

Gunakan kebijakan berikut untuk mengizinkan akses penuh ke Amazon S3API.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": "*"
            
        }
    ]
}

Mengizinkan akses baca dan tulis ke bucket Amazon S3 di perangkat Keluarga Salju

Gunakan kebijakan berikut ini untuk mengizinkan akses baca dan tulis ke bucket tertentu.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::bucket-name"
        },
        {
            "Sid": "AllObjectActions",
            "Effect": "Allow",
            "Action": "s3:*Object",
            "Resource": "arn:aws:s3:::bucket-name/*"
        }
    ]
}

Mengizinkan daftar, dapatkan, dan pasang akses ke bucket Amazon S3 di perangkat Snow Family

Gunakan kebijakan berikut untuk mengizinkan Akses List, Get, dan Put ke bucket S3 tertentu.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:List*"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}

Mengizinkan akses penuh ke Amazon EC2 API pada perangkat Keluarga Salju

Gunakan kebijakan berikut untuk mengizinkan akses penuh ke AmazonEC2.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:*",
            "Resource": "*"
        }
    ]
}

Mengizinkan akses untuk memulai dan menghentikan instans EC2 yang kompatibel dengan Amazon di perangkat Keluarga Salju

Gunakan kebijakan berikut untuk mengizinkan akses memulai dan menghentikan EC2 instans Amazon.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*"
        }
    ]
}

Menolak panggilan ke DescribeLaunchTemplates tetapi mengizinkan semua panggilan ke DescribeImages perangkat Keluarga Salju

Gunakan kebijakan berikut untuk menolak panggilan ke DescribeLaunchTemplates tetapi izinkan semua panggilan ke DescribeImages.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ec2:DescribeLaunchTemplates"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages"
            ],
            "Resource": "*"
        }
    ]
}

Kebijakan untuk API panggilan pada perangkat Keluarga Salju

Daftar semua kebijakan terkelola yang tersedia di perangkat Snow Anda, termasuk kebijakan terkelola yang ditentukan pelanggan Anda sendiri. Detail lebih lanjut dalam daftar kebijakan.


aws iam list-policies --endpoint http://ip-address:6078 --profile snowballEdge --region snow
{
    "Policies": [
        {
            "PolicyName": "Administrator",
            "Description": "Root user admin policy for Account 123456789012",
            "CreateDate": "2020-03-04T17:44:59.412Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "policy-id",
            "DefaultVersionId": "v1",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:policy/Administrator",
            "UpdateDate": "2020-03-04T19:10:45.620Z"
        }
    ]
}

TrustPolicy contoh pada perangkat Keluarga Salju

Kebijakan kepercayaan mengembalikan serangkaian kredensial keamanan sementara yang dapat Anda gunakan untuk mengakses AWS sumber daya yang biasanya tidak dapat Anda akses. Kredensial sementara ini terdiri dari access key ID, secret access key, dan token keamanan. Biasanya, Anda menggunakan AssumeRole di akun Anda untuk akses lintas akun.

Berikut ini adalah contoh kebijakan kepercayaan. Untuk informasi selengkapnya tentang kebijakan kepercayaan, lihat AssumeRoledi AWS Security Token Service APIReferensi.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::AccountId:root" //You can use the Principal ID instead of the account ID. 
                ]
            },
            "Action": [
                "sts:AssumeRole"
            ]
        }
    ]
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Membuat dan memelihara cluster

Menggunakan AWS STS