Esempio 1: politica relativa al ruolo che consente a un utente di creare un Job per ordinare un dispositivo Snowball Edge con l'API Esempio 2: policy del ruolo per la creazione di processi di importazione Esempio 3: policy del ruolo per la creazione di processi di esportazione Esempio 4: autorizzazioni di ruolo previste e politica di attendibilità Riferimento delle autorizzazioni per le API di gestione dei processi

Esempi di policy gestite dal cliente

In questa sezione, puoi trovare esempi di politiche utente che concedono autorizzazioni per varie azioni di gestione dei AWS Snowball lavori. Queste politiche funzionano quando si utilizza AWS SDKs o il AWS CLI. Se utilizzi la console, sarà necessario concedere autorizzazioni aggiuntive specifiche per quest'ultima, come illustrato in Autorizzazioni necessarie per utilizzare la console AWS Snowball.

Nota

Tutti gli esempi utilizzano la regione us-west-2 e contengono account fittizi. IDs

Esempi

Esempio 1: politica relativa al ruolo che consente a un utente di creare un Job per ordinare un dispositivo Snowball Edge con l'API
Esempio 2: policy del ruolo per la creazione di processi di importazione
Esempio 3: policy del ruolo per la creazione di processi di esportazione
Esempio 4: autorizzazioni di ruolo previste e politica di attendibilità
AWS Snowball Autorizzazioni API: riferimento ad azioni, risorse e condizioni

Esempio 1: politica relativa al ruolo che consente a un utente di creare un Job per ordinare un dispositivo Snowball Edge con l'API

La seguente policy di autorizzazioni è un componente necessario di qualsiasi policy utilizzata per concedere l'autorizzazione per la creazione di un processo o un cluster utilizzando l'API di gestione dei processi. La dichiarazione è necessaria come dichiarazione politica sulle relazioni di fiducia per il ruolo IAM di Snowball.



{
    "Version": "2012-10-17",
    "Statement": [
    {
         "Effect": "Allow",
         "Principal": {
         "Service": "importexport.amazonaws.com"
    },
    "Action": "sts:AssumeRole"
    }
    ]
}

Esempio 2: policy del ruolo per la creazione di processi di importazione

La seguente politica di fiducia dei ruoli viene utilizzata per creare processi di importazione per Snowball Edge che utilizzano le funzioni AWS Lambda powered by AWS IoT Greengrass .



                    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketPolicy",
                "s3:GetBucketLocation",
                "s3:ListBucketMultipartUploads",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts",
                "s3:PutObjectAcl",
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "snowball:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iot:AttachPrincipalPolicy",
                "iot:AttachThingPrincipal",
                "iot:CreateKeysAndCertificate",
                "iot:CreatePolicy",
                "iot:CreateThing",
                "iot:DescribeEndpoint",
                "iot:GetPolicy"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "lambda:GetFunction"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "greengrass:CreateCoreDefinition",
                "greengrass:CreateDeployment",
                "greengrass:CreateDeviceDefinition",
                "greengrass:CreateFunctionDefinition",
                "greengrass:CreateGroup",
                "greengrass:CreateGroupVersion",
                "greengrass:CreateLoggerDefinition",
                "greengrass:CreateSubscriptionDefinition",
                "greengrass:GetDeploymentStatus",
                "greengrass:UpdateGroupCertificateConfiguration",
                "greengrass:CreateGroupCertificateAuthority",
                "greengrass:GetGroupCertificateAuthority",
                "greengrass:ListGroupCertificateAuthorities",
                "greengrass:ListDeployments", 
                "greengrass:GetGroup", 
                "greengrass:GetGroupVersion", 
                "greengrass:GetCoreDefinitionVersion"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Esempio 3: policy del ruolo per la creazione di processi di esportazione

La seguente politica di fiducia dei ruoli viene utilizzata per creare lavori di esportazione per Snowball Edge che utilizzano le funzioni AWS Lambda powered by AWS IoT Greengrass .



                    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
           "Effect": "Allow",
           "Action": [
                "snowball:*"
           ],
           "Resource": [
                "*"
           ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iot:AttachPrincipalPolicy",
                "iot:AttachThingPrincipal",
                "iot:CreateKeysAndCertificate",
                "iot:CreatePolicy",
                "iot:CreateThing",
                "iot:DescribeEndpoint",
                "iot:GetPolicy"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "lambda:GetFunction"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "greengrass:CreateCoreDefinition",
                "greengrass:CreateDeployment",
                "greengrass:CreateDeviceDefinition",
                "greengrass:CreateFunctionDefinition",
                "greengrass:CreateGroup",
                "greengrass:CreateGroupVersion",
                "greengrass:CreateLoggerDefinition",
                "greengrass:CreateSubscriptionDefinition",
                "greengrass:GetDeploymentStatus",
                "greengrass:UpdateGroupCertificateConfiguration",
                "greengrass:CreateGroupCertificateAuthority",
                "greengrass:GetGroupCertificateAuthority",
                "greengrass:ListGroupCertificateAuthorities",
                "greengrass:ListDeployments", 
                "greengrass:GetGroup", 
                "greengrass:GetGroupVersion", 
                "greengrass:GetCoreDefinitionVersion"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Esempio 4: autorizzazioni di ruolo previste e politica di attendibilità

La seguente politica di autorizzazione prevista per i ruoli è necessaria per l'utilizzo di un ruolo di servizio esistente. È una configurazione unica.


{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Effect": "Allow",
            "Action": "sns:Publish",
            "Resource": ["[[snsArn]]"]
        },
        {
            "Effect": "Allow",
            "Action":
            [
                "cloudwatch:ListMetrics",
                "cloudwatch:GetMetricData",
                "cloudwatch:PutMetricData"
            ],
            "Resource":
            [
                "*"
            ],
            "Condition": {
                    "StringEquals": {
                        "cloudwatch:namespace": "AWS/SnowFamily"
                    }
            }
        }
    ]
}

La seguente politica di attendibilità dei ruoli prevista è necessaria per l'utilizzo di un ruolo di servizio esistente. È una configurazione unica.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "importexport.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

AWS Snowball Autorizzazioni API: riferimento ad azioni, risorse e condizioni

Quando configuri il Controllo degli accessi in Cloud AWS e scrivi una policy di autorizzazione che puoi collegare a un'identità IAM (policy basate su identità), puoi utilizzare l'elenco nella seguente come riferimento. La tabella seguente ogni operazione dell'API di gestione dei AWS Snowball lavori e le azioni corrispondenti per le quali è possibile concedere le autorizzazioni per eseguire l'azione. Include inoltre, per ogni operazione API, la AWS risorsa per la quale è possibile concedere le autorizzazioni. Puoi specificare le azioni nel campo Action della policy e il valore della risorsa nel campo Resource.

Puoi utilizzare i tasti AWS-wide condition nelle tue AWS Snowball politiche per esprimere condizioni. Per un elenco completo delle chiavi AWS-wide, consulta Available Keys nella IAM User Guide.

Nota

Per specificare un'operazione, utilizza il prefisso snowball: seguito dal nome dell'operazione API (ad esempio, snowball:CreateJob).

Utilizzare le barre di scorrimento per visualizzare il resto della tabella.

AWS Snowball API Job Management e autorizzazioni richieste per le azioni
Operazioni delle API di gestione dei processi	Autorizzazioni richieste
CancelCluster	`snowball:CancelCluster`
CancelJob	`snowball:CancelJob`
CreateAddress	`snowball:CreateAddress`
CreateCluster	Questa operazione richiede le autorizzazioni seguenti: Le autorizzazioni complete della console in Autorizzazioni necessarie per utilizzare la console AWS Snowball Le autorizzazioni aggiuntive solo per le API in Esempio 1: politica relativa al ruolo che consente a un utente di creare un Job per ordinare un dispositivo Snowball Edge con l'API `snowball:CreateCluster`
CreateJob	Le autorizzazioni complete della console in Autorizzazioni necessarie per utilizzare la console AWS Snowball Le autorizzazioni aggiuntive solo per le API in Esempio 1: politica relativa al ruolo che consente a un utente di creare un Job per ordinare un dispositivo Snowball Edge con l'API `snowball:CreateJob`
DescribeAddress	`snowball:DescribeAddress`
DescribeAddresses	`snowball:DescribeAddresses`
DescribeCluster	`snowball:DescribeCluster`
DescribeJob	`snowball:DescribeJob`
GetJobManifest	`snowball:GetJobManifest`
GetJobUnlockCode	`snowball:GetJobUnlockCode`
GetSnowballUsage	`snowball:GetSnowballUsage`
ListClusterJobs	`snowball:ListClusterJobs`
ListClusters	`snowball:ListClusters`
ListJobs	`snowball:ListJobs`
UpdateCluster	`snowball:UpdateCluster`
UpdateJob	`snowball:UpdateJob`

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Utilizzo di policy basate su identità (policy IAM)

Registrazione e monitoraggio