Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di politiche basate sull'identità (politiche IAM) per AWS Snowball
Questo argomento fornisce esempi di politiche basate sull'identità che dimostrano come un amministratore di account può collegare politiche di autorizzazione alle identità IAM (ovvero utenti, gruppi e ruoli). Queste politiche concedono quindi le autorizzazioni per eseguire operazioni sulle risorse di. AWS Snowball Cloud AWS
Importante
In primo luogo, è consigliabile esaminare gli argomenti introduttivi in cui vengono spiegati i concetti di base e le opzioni disponibili per gestire l'accesso alle risorse AWS Snowball . Per ulteriori informazioni, consulta la pagina Panoramica della gestione delle autorizzazioni di accesso alle risorse in Cloud AWS.
In questa sezione vengono trattati gli argomenti seguenti:
Di seguito viene illustrato un esempio di policy di autorizzazione.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*", "importexport:*" ], "Resource": "*" } ] }
La policy include due dichiarazioni:
-
La prima istruzione concede le autorizzazioni per tre azioni Amazon S3
s3:GetBucketLocation(s3:GetObject,s3:ListBuckete) su tutti i bucket Amazon S3 utilizzando l'Amazon Resource Name (ARN) di.arn:aws:s3:::*L'ARN specifica un carattere jolly (*) in modo che l'utente possa scegliere uno o tutti i bucket Amazon S3 da cui esportare i dati. -
La seconda dichiarazione concede le autorizzazioni per tutte le azioni. AWS Snowball Poiché tali operazioni non supportano le autorizzazioni a livello di risorsa, la policy specifica il carattere jolly (*) e anche il valore
Resourcespecifica un carattere jolly.
La policy non specifica l'elemento Principal poiché in una policy basata su identità l'entità che ottiene l'autorizzazione non viene specificata. Quando alleghi una policy a un utente, l'utente è il principale implicito. Quando colleghi una policy di autorizzazioni a un ruolo IAM, il principale identificato nella policy di attendibilità del ruolo ottiene le autorizzazioni.
Per una tabella che mostra tutte le azioni dell'API di gestione dei AWS Snowball lavori e le risorse a cui si applicano, consulta. AWS Snowball Autorizzazioni API: riferimento ad azioni, risorse e condizioni
Autorizzazioni necessarie per utilizzare la console AWS Snowball
La tabella di riferimento delle autorizzazioni elenca le operazioni dell'API di gestione dei AWS Snowball lavori e mostra le autorizzazioni richieste per ciascuna operazione. Per ulteriori informazioni sulle operazioni API di gestione dei processi, consulta AWS Snowball Autorizzazioni API: riferimento ad azioni, risorse e condizioni.
Per utilizzare Console di gestione della famiglia di servizi AWS Snow, è necessario concedere le autorizzazioni per azioni aggiuntive, come illustrato nella seguente politica di autorizzazione:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetBucketPolicy", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListAllMyBuckets" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "lambda:GetFunction", "lambda:GetFunctionConfiguration" ], "Resource": "arn:aws:lambda:*::function:*" }, { "Effect": "Allow", "Action": [ "lambda:ListFunctions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:GenerateDataKey", "kms:Decrypt", "kms:Encrypt", "kms:RetireGrant", "kms:ListKeys", "kms:DescribeKey", "kms:ListAliases" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreatePolicy", "iam:CreateRole", "iam:ListRoles", "iam:ListRolePolicies", "iam:PutRolePolicy" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "importexport.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:ModifyImageAttribute" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:ListTopics", "sns:GetTopicAttributes", "sns:SetTopicAttributes", "sns:ListSubscriptionsByTopic", "sns:Subscribe" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "greengrass:getServiceRoleForAccount" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] } ] }
La AWS Snowball console necessita di queste autorizzazioni aggiuntive per i seguenti motivi:
-
ec2:— Consentono all'utente di descrivere le istanze compatibili con Amazon EC2 e di modificarne gli attributi per scopi di calcolo locali. Per ulteriori informazioni, consulta Utilizzo di istanze di calcolo compatibili con Amazon EC2. -
kms:— Consentono all'utente di creare o scegliere la chiave KMS che crittograferà i dati. Per ulteriori informazioni, consulta AWS Key Management ServiceAWS Snowball in Edge. -
iam:— Consentono all'utente di creare o scegliere un ruolo IAM ARN che AWS Snowball assumerà per accedere alle AWS risorse associate alla creazione e all'elaborazione dei lavori. -
sns:— Consentono all'utente di creare o scegliere le notifiche Amazon SNS per i lavori che crea. Per ulteriori informazioni, consulta Notifiche per i dispositivi Snow Family.
