Esempi di policy gestite dal cliente - AWS Snowball Edge Guida per gli sviluppatori

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempi di policy gestite dal cliente

In questa sezione, puoi trovare esempi di politiche utente che concedono autorizzazioni per varie azioni di gestione dei AWS Snowball lavori. Queste politiche funzionano quando si utilizza AWS SDKs o il AWS CLI. Se utilizzi la console, sarà necessario concedere autorizzazioni aggiuntive specifiche per quest'ultima, come illustrato in Autorizzazioni necessarie per utilizzare la console AWS Snowball.

Nota

Tutti gli esempi utilizzano la regione us-west-2 e contengono account fittizi. IDs

Esempio 1: politica relativa al ruolo che consente a un utente di creare un Job per ordinare un dispositivo Snow Family con API

La seguente politica di autorizzazione è un componente necessario di qualsiasi politica utilizzata per concedere l'autorizzazione alla creazione di lavori o cluster utilizzando la gestione dei API lavori. La dichiarazione è necessaria come dichiarazione politica sulle relazioni di fiducia per il ruolo SnowballIAM.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "importexport.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Esempio 2: policy del ruolo per la creazione di processi di importazione

La seguente politica di fiducia dei ruoli viene utilizzata per creare processi di importazione per Snowball Edge che utilizzano le funzioni AWS Lambda powered by AWS IoT Greengrass .

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucketMultipartUploads" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "s3:GetBucketPolicy", "s3:GetBucketLocation", "s3:ListBucketMultipartUploads", "s3:ListBucket", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts", "s3:PutObjectAcl", "s3:GetObject" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CreateKeysAndCertificate", "iot:CreatePolicy", "iot:CreateThing", "iot:DescribeEndpoint", "iot:GetPolicy" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetFunction" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "greengrass:CreateCoreDefinition", "greengrass:CreateDeployment", "greengrass:CreateDeviceDefinition", "greengrass:CreateFunctionDefinition", "greengrass:CreateGroup", "greengrass:CreateGroupVersion", "greengrass:CreateLoggerDefinition", "greengrass:CreateSubscriptionDefinition", "greengrass:GetDeploymentStatus", "greengrass:UpdateGroupCertificateConfiguration", "greengrass:CreateGroupCertificateAuthority", "greengrass:GetGroupCertificateAuthority", "greengrass:ListGroupCertificateAuthorities", "greengrass:ListDeployments", "greengrass:GetGroup", "greengrass:GetGroupVersion", "greengrass:GetCoreDefinitionVersion" ], "Resource": [ "*" ] } ] }

Esempio 3: policy del ruolo per la creazione di processi di esportazione

La seguente politica di fiducia dei ruoli viene utilizzata per creare lavori di esportazione per Snowball Edge che utilizzano le funzioni AWS Lambda powered by AWS IoT Greengrass .

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CreateKeysAndCertificate", "iot:CreatePolicy", "iot:CreateThing", "iot:DescribeEndpoint", "iot:GetPolicy" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetFunction" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "greengrass:CreateCoreDefinition", "greengrass:CreateDeployment", "greengrass:CreateDeviceDefinition", "greengrass:CreateFunctionDefinition", "greengrass:CreateGroup", "greengrass:CreateGroupVersion", "greengrass:CreateLoggerDefinition", "greengrass:CreateSubscriptionDefinition", "greengrass:GetDeploymentStatus", "greengrass:UpdateGroupCertificateConfiguration", "greengrass:CreateGroupCertificateAuthority", "greengrass:GetGroupCertificateAuthority", "greengrass:ListGroupCertificateAuthorities", "greengrass:ListDeployments", "greengrass:GetGroup", "greengrass:GetGroupVersion", "greengrass:GetCoreDefinitionVersion" ], "Resource": [ "*" ] } ] }

Esempio 4: autorizzazioni di ruolo previste e politica di attendibilità

La seguente politica di autorizzazione prevista per i ruoli è necessaria per l'utilizzo di un ruolo di servizio esistente. È una configurazione unica.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sns:Publish", "Resource": ["[[snsArn]]"] }, { "Effect": "Allow", "Action": [ "cloudwatch:ListMetrics", "cloudwatch:GetMetricData", "cloudwatch:PutMetricData" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/SnowFamily" } } } ] }

La seguente politica di attendibilità dei ruoli prevista è necessaria per l'utilizzo di un ruolo di servizio esistente. È una configurazione unica.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "importexport.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

AWS Snowball APIAutorizzazioni: riferimento alle azioni, alle risorse e alle condizioni

La tabella seguente ogni API operazione di gestione dei AWS Snowball job e le azioni corrispondenti per le quali è possibile concedere le autorizzazioni per eseguire l'azione. Include inoltre per ogni API operazione la AWS risorsa per la quale è possibile concedere le autorizzazioni. Puoi specificare le azioni nel campo Action della policy e il valore della risorsa nel campo Resource.

Puoi utilizzare i tasti AWS-wide condition nelle tue AWS Snowball politiche per esprimere condizioni. Per un elenco completo delle chiavi AWS-wide, consulta Available Keys nella Guida per l'IAMutente.

Nota

Per specificare un'azione, utilizzate il snowball: prefisso seguito dal nome dell'APIoperazione (ad esempio,snowball:CreateJob).

Utilizzare le barre di scorrimento per visualizzare il resto della tabella.