Gestione degli accessi perAWS DataSync - AWS DataSync
Risorse e operazioni DataSyncInformazioni sulla proprietà delle risorseGestione dell'accesso alle risorseSpecifica degli elementi delle policy: operazioni, effetti, risorse ed entitàSpecifica delle condizioni in una policy

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione degli accessi perAWS DataSync

OgniAWS risorsa è di proprietà di unAccount AWS. Le autorizzazioni per creare o accedere a una risorsa sono regolate dalle policy di autorizzazione. Un amministratore dell'account può allegare politiche di autorizzazione alle identitàAWS Identity and Access Management (IAM). Alcuni servizi (comeAWS Lambda) supportano anche il collegamento di policy di autorizzazioni alle risorse.

Nota

Un amministratore account è un utente con privilegi di amministratore in unAccount AWS. Per ulteriori informazioni, consultare la sezione best practice IAM nella Guida per l'utente IAM.

Risorse e operazioni DataSync

InDataSync, le risorse principali sono l'agente, l'ubicazione, l'attività e l'esecuzione delle attività.

Alle risorse sono associati nomi Amazon Resource Name (ARN) univoci, come illustrato nella tabella seguente.

Tipo di risorsa Formato ARN

ARN agente

arn:aws:datasync:region:account-id:agent/agent-id
ARN posizione

arn:aws:datasync:region:account-id:location/location-id
ARN attività

arn:aws:datasync:region:account-id:task/task-id

Esecuzione dell'operazione ARN

arn:aws:datasync:region:account-id:task/task-id/execution/exec-id

Per concedere le autorizzazioni per operazioni API specifiche, come la creazione di un'operazione,DataSync viene definito un set di operazioni che puoi specificare in una policy di autorizzazioni. Un'operazione API può richiedere le autorizzazioni per più di un'operazione. Per un elenco di tutte le operazioniDataSync API e le risorse a cui si applicano, consultaDataSyncAutorizzazioni API: operazioni e operazioni e risorse.

Informazioni sulla proprietà delle risorse

Il proprietario di una risorsa èAccount AWS il proprietario della risorsa. Ovvero, il proprietarioAccount AWS della risorsa è l'entità principale (ad esempio un ruolo IAM) che autentica la richiesta che crea la risorsa. Negli esempi seguenti viene illustrato il funzionamento di questo comportamento:

  • Se usi le credenziali dell'account root del tuo accountAccount AWS per creare un'operazione, il proprietario della risorsa (inDataSync, la risorsa è l'operazione).Account AWS

  • Se crei un ruolo IAM nel tuoAccount AWS e concedi le autorizzazioni per l'CreateTaskoperazione a tale utente, questo può creare un'operazione. Tuttavia, l'utenteAccount AWS a cui appartiene l'utente della risorsa dell'operazione.

  • Se crei un ruolo IAM nel tuoAccount AWS con le autorizzazioni per creare un'attività, ogni utente che può assumere il ruolo può creare un'attività. L'utenteAccount AWS, a cui appartiene il ruolo, il proprietario della risorsa dell'attività.

Gestione dell'accesso alle risorse

La policy delle autorizzazioni descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.

Nota

Questa sezione riguarda l'utilizzo di IAM nel contesto DataSync. Non vengono fornite informazioni dettagliate sul servizio IAM. Per la documentazione di IAM completa, consultare la pagina Che cos'è IAM? nella Guida per l'utente di IAM. Per informazioni sulla sintassi delle policy IAM e le descrizioni delle policy IAM, consulta Riferimento alleAWS Identity and Access Management policy nella Guida per l'utente di IAM.

Le policy collegate a un'identità IAM vengono definite policy basate su identità (policy IAM), mentre quelle collegate a una risorsa vengono definite policy basate su risorse. DataSync supporta solo policy basate su identità (policy IAM).

Policy basate su identità

Puoi gestire l'accesso alleDataSync risorse con le policy IAM. Queste politiche possono aiutare unAccount AWS amministratore a eseguire le seguenti operazioni conDataSync:

  • Concedi le autorizzazioni per creare e gestireDataSync le risorse: crea una policy IAM cheAccount AWS consenta a un ruolo IAM nel tuo team di creare e gestireDataSync risorse, come agenti, sedi e attività.

  • Concedi le autorizzazioni a un ruolo in un altroAccount AWS o in unServizio AWS: crea una politica IAM che concede le autorizzazioni a un ruolo IAM in un altroAccount AWS o in un altroServizio AWS. Ad esempio:

    1. L'amministratore dell'account A crea un ruolo IAM e collega una policy di autorizzazioni al ruolo che concede le autorizzazioni sulle risorse nell'account A.

    2. L'amministratore dell'account A collega una policy di attendibilità al ruolo che identifica l'account B come il principale che può assumere il ruolo.

      Per concedere a unServizio AWS utente il permesso di assumere il ruolo, l'amministratore dell'account A può specificare unServizio AWS nome come principale nella politica fiduciaria.

    3. L'amministratore dell'account B può quindi delegare le autorizzazioni ad assumere tale ruolo a qualsiasi utente dell'account B. Ciò consente a chiunque utilizzi il ruolo nell'account B di creare o accedere alle risorse nell'account A.

    Per ulteriori informazioni sull'uso di IAM per delegare le autorizzazioni, consultare Gestione degli accessi nella Guida per l'utente di IAM.

La policy di esempio seguente concede le autorizzazioni per tutte leList* operazioni su tutte le risorse. Questa azione è di sola lettura e non consente la modifica delle risorse.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllListActionsOnAllResources",
            "Effect": "Allow",
            "Action": [
                "datasync:List*"
            ],
            "Resource": "*"
        }
    ]
}

Per ulteriori informazioni sull'uso di policy basate su identità conDataSync, consulta Policy AWSgestite e Policy gestite dal cliente. Per ulteriori informazioni sulle identità IAM, consulta la Guida per l'utente di IAM.

Policy basate su risorse

Altri servizi, come Amazon S3, supportano le policy di autorizzazioni basate su risorse. Ad esempio, è possibile associare una policy a un bucket Amazon S3 per gestire le autorizzazioni di accesso a quel bucket. Tuttavia,DataSync non supporta le policy basate su risorse.

Specifica degli elementi delle policy: operazioni, effetti, risorse ed entità

Per ogni risorsa DataSync (vedi DataSyncAutorizzazioni API: operazioni e operazioni e risorse), il servizio definisce un insieme di operazioni API (vedi Operazioni). Per concedere le autorizzazioni per queste operazioni API, DataSync definisce un set di operazioni che possono essere specificate in una policy. Ad esempio, per la risorsa DataSync, vengono definite le seguenti operazioni: CreateTask, DeleteTask e DescribeTask. L'esecuzione di un'operazione API può richiedere le autorizzazioni per più di un'operazione.

Di seguito sono elencati gli elementi di base di una policy:

  • Risorsa - in una policy si utilizza un nome Amazon Resource Name (ARN) per identificare la risorsa a cui si applica la policy stessa. Per le risorse DataSync, puoi utilizzare il carattere jolly (*) nelle policy IAM. Per ulteriori informazioni, consulta Risorse e operazioni DataSync.

  • Operazione: utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare. Ad esempio, a seconda dell'Effectelemento specificato, l'datasync:CreateTaskautorizzazione consente o nega all'utente le autorizzazioni di eseguire l'DataSyncCreateTaskoperazione.

  • Effetto: l'effetto prodotto quando l'utente richiede l'operazione specifica. Questo effetto può essereAllow oDeny. Se l'accesso a una risorsa non viene esplicitamente autorizzato (Allow), l'accesso viene implicitamente rifiutato. È possibile anche rifiutare esplicitamente l'accesso a una risorsa per garantire che un utente non possa accedervi, anche se l'accesso viene concesso da un'altra policy. Per ulteriori informazioni, consulta Autorizzazione nella Guida per l'utente IAM.

  • Principale - Nelle policy basate su identità (policy IAM), l'utente a cui la policy è collegata è il principale implicito. Per policy basate su risorse, specifichi l'utente, l'account, il servizio o un'altra entità che desideri riceva le autorizzazioni (si applica solo alle policy basate su risorse). DataSync non supporta le policy basate su risorse.

Per ulteriori informazioni sulla sintassi e le descrizioni delle policy IAM, consulta Riferimento alleAWS Identity and Access Management policy nella Guida per l'utente di IAM.

Per una tabella che include tutte le operazioni API DataSync, consulta DataSyncAutorizzazioni API: operazioni e operazioni e risorse.

Specifica delle condizioni in una policy

Quando concedi le autorizzazioni, puoi usare il linguaggio delle policy IAM per specificare le condizioni in base alle quali applicare una policy. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni su come specificare le condizioni nel linguaggio di policy, consulta Condizione nella Guida per l'utente di IAM.

Per esprimere le condizioni, devi usare chiavi di condizione predefinite. Non esistono chiavi di condizione specifiche per DataSync. sonoAWS tuttavia disponibili chiavi di condizione che puoi utilizzare secondo necessità. Per un elenco completo delleAWS chiavi, consulta la pagina sulle Chiavi disponibili nella Guida per l'utente di IAM.