Controllo degli accessi per console Snow Family e creazione di posti di lavoro - AWS Snowball Edge Guida per gli sviluppatori
Panoramica sulla gestione degli accessiAWS-Policy gestite (predefinite) per Edge AWS Snowball

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controllo degli accessi per console Snow Family e creazione di posti di lavoro

Come per tutti i AWS servizi, l'accesso a AWS Snowball richiede credenziali che AWS possono essere utilizzate per autenticare le richieste. Tali credenziali devono disporre delle autorizzazioni per accedere alle AWS risorse, ad esempio un bucket Amazon S3 o una funzione. AWS Lambda AWS Snowball differisce in due modi:

  1. I job in AWS Snowball non dispongono di Amazon Resource Names (ARNs).

  2. Il controllo dell'accesso fisico e di rete per un dispositivo locale è una tua responsabilità.

Identity and Access Management per AWS Snow FamilyPer ulteriori informazioni su come utilizzare AWS Identity and Access Management (IAM) e su come AWS Snowball proteggere le risorse controllando chi può accedervi Cloud AWS, consulta i consigli sul controllo degli accessi e anche quelli locali.

Panoramica della gestione delle autorizzazioni di accesso alle risorse in Cloud AWS

Ogni AWS risorsa è di proprietà di un e Account AWS le autorizzazioni per creare o accedere a una risorsa sono regolate dalle politiche di autorizzazione. Un amministratore di account può associare criteri di autorizzazione alle IAM identità (ovvero utenti, gruppi e ruoli) e alcuni servizi (come AWS Lambda) supportano anche l'associazione di politiche di autorizzazione alle risorse.

Nota

Un amministratore account (o un utente amministratore) è un utente con privilegi di amministratore. Per ulteriori informazioni, consulta IAMBest Practices nella Guida per l'utente. IAM

Risorse e operazioni

Nel AWS Snowball, la risorsa principale è un lavoro. AWS Snowball dispone anche di dispositivi come Snowball e il AWS Snowball Edge dispositivo, tuttavia è possibile utilizzare tali dispositivi solo nel contesto di un lavoro esistente. I bucket Amazon S3 e le funzioni Lambda sono risorse rispettivamente di Amazon S3 e Lambda.

Come accennato in precedenza, ai job non è associato Amazon Resource Names (ARNs). Tuttavia, alle risorse di altri servizi, come i bucket Amazon S3, è associata una funzione unique ARNs (), come illustrato nella tabella seguente.

Tipo di risorsa ARNFormato
Bucket S3 arn:aws:s3:region:account-id:BucketName/ObjectName

AWS Snowball fornisce una serie di operazioni per creare e gestire lavori. Per un elenco delle operazioni disponibili, consulta la Guida AWS Snowball APIdi riferimento.

Informazioni sulla proprietà delle risorse

Account AWS Possiede le risorse create nell'account, indipendentemente da chi le ha create. In particolare, il proprietario Account AWS della risorsa è l'entità principale (ovvero l'account root, un IAM utente o un IAM ruolo) che autentica la richiesta di creazione delle risorse. Negli esempi seguenti viene illustrato il funzionamento:

  • Se utilizzi le credenziali dell'account root del tuo account Account AWS per creare un bucket S3, sei il proprietario della risorsa (in AWS Snowball, la risorsa Account AWS è il lavoro).

  • Se crei un IAM utente nel tuo account Account AWS e concedi le autorizzazioni per creare un lavoro per ordinare un dispositivo Snow Family a quell'utente, l'utente può creare un lavoro per ordinare un dispositivo Snow Family. Tuttavia Account AWS, la risorsa di lavoro è di proprietà dell'utente a cui appartiene.

  • Se crei un IAM ruolo Account AWS con le autorizzazioni necessarie per creare un lavoro, chiunque possa assumere il ruolo può creare un lavoro per ordinare un dispositivo Snow Family. Il tuo Account AWS, a cui appartiene il ruolo, è il proprietario della risorsa di lavoro.

Gestione dell'accesso alle risorse in Cloud AWS

La policy delle autorizzazioni descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.

Nota

In questa sezione viene illustrato l'utilizzo IAM nel contesto di AWS Snowball. Non fornisce informazioni dettagliate sul IAM servizio. Per la IAM documentazione completa, vedi Cos'èIAM? nella Guida IAM per l'utente. Per informazioni sulla sintassi e le descrizioni delle IAM policy, vedere AWS IAMPolicy Reference nella Guida per l'IAMutente.

Le politiche associate a un'IAMidentità sono denominate politiche basate sull'identità (IAMpolitiche) e le politiche allegate a una risorsa sono denominate politiche basate sulle risorse. AWS Snowball supporta solo politiche (politiche) basate sull'identità. IAM

Policy basate su risorse

Anche altri servizi, ad esempio Amazon S3, supportano policy di autorizzazioni basate su risorse. Ad esempio, puoi allegare una policy a un bucket S3 per gestire le autorizzazioni di accesso a quel bucket. AWS Snowball non supporta politiche basate sulle risorse. 

Specifica degli elementi delle policy: operazioni, effetti e principali

Per ogni lavoro (vediRisorse e operazioni), il servizio definisce una serie di API operazioni (vedi AWS Snowball APIRiferimento) per creare e gestire tale lavoro. Per concedere le autorizzazioni per queste API operazioni, AWS Snowball definisce una serie di azioni che è possibile specificare in una politica. Ad esempio, per un processo, vengono definite le seguenti operazioni: CreateJob, CancelJob e DescribeJob. Tieni presente che l'esecuzione di un'APIoperazione può richiedere autorizzazioni per più di un'azione.

Di seguito sono elencati gli elementi di base di una policy:

  • Risorsa: in una policy, utilizzi un Amazon Resource Name (ARN) per identificare la risorsa a cui si applica la policy. Per ulteriori informazioni, consulta Risorse e operazioni.

    Nota

    Questa funzionalità è supportata per Amazon S3, Amazon AWS KMS, EC2 AWS Lambda e molti altri servizi.

    Snowball non supporta la specificazione di una risorsa ARN nell'Resourceelemento di una IAM dichiarazione politica. Per consentire l'accesso a Snowball, specificalo “Resource”: “*” nella tua politica.

  • Operazione: utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare. Ad esempio, a seconda del Effect, snowball:* specificato, autorizzi o rifiuti all'utente le autorizzazioni per eseguire tutte le operazioni.

    Nota

    Questa funzionalità è supportata per AmazonEC2, Amazon S3 e. IAM

  • Effetto: l'effetto prodotto quando l'utente richiede l'operazione specifica, ovvero un'autorizzazione o un rifiuto. USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. Puoi anche rifiutare esplicitamente l'accesso a una risorsa per garantire che un utente non possa accedervi, anche se l'accesso viene concesso da un'altra policy.

    Nota

    Questa funzionalità è supportata per AmazonEC2, Amazon S3 e. IAM

  • Principio: nelle politiche (IAMpolitiche) basate sull'identità, l'utente a cui è associata la politica è il principale implicito. Per le politiche basate sulle risorse, si specifica l'utente, l'account, il servizio o l'altra entità a cui si desidera ricevere le autorizzazioni (si applica solo alle politiche basate sulle risorse). AWS Snowball non supporta politiche basate sulle risorse.

Per ulteriori informazioni sulla sintassi e sulle descrizioni delle IAM politiche, consulta AWS IAMPolicy Reference nella Guida per l'utente. IAM

Per una tabella che mostra tutte le AWS Snowball API azioni, vedereAWS Snowball APIAutorizzazioni: riferimento alle azioni, alle risorse e alle condizioni.

Specifica delle condizioni in una policy

Quando si concedono le autorizzazioni, è possibile utilizzare il linguaggio delle IAM policy per specificare le condizioni in cui una politica deve avere effetto. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni sulla specificazione delle condizioni in un linguaggio di policy, consulta Condition nella Guida per l'IAMutente.

Per esprimere le condizioni è necessario utilizzare chiavi di condizione predefinite. Non esistono chiavi di condizione specifiche per AWS Snowball. Tuttavia, esistono tasti di condizione AWS-wide che è possibile utilizzare a seconda delle esigenze. Per un elenco completo delle chiavi AWS-wide, consulta Available Keys for Conditions nella Guida per l'IAMutente.

AWS-Policy gestite (predefinite) per Edge AWS Snowball

AWS affronta molti casi d'uso comuni fornendo IAM policy autonome create e amministrate da. AWS Le policy gestite concedono le autorizzazioni necessarie per i casi di utilizzo comune in modo da non dover cercare quali sono le autorizzazioni richieste. Per ulteriori informazioni, vedere AWS Managed Policies nella Guida per l'IAMutente.

È possibile utilizzare le seguenti politiche AWS gestite con AWS Snowball.

Creazione di una politica relativa ai IAM ruoli per Snowball Edge

È necessario creare una politica di IAM ruolo con autorizzazioni di lettura e scrittura per i bucket Amazon S3. Il IAM ruolo deve inoltre avere un rapporto di fiducia con Snowball. Avere una relazione di fiducia significa AWS poter scrivere i dati nello Snowball e nei bucket Amazon S3, a seconda che si stiano importando o esportando dati.

Quando crei un lavoro per ordinare un dispositivo Snow Family in Console di gestione della famiglia di servizi AWS Snow, la creazione del IAM ruolo necessario avviene nel passaggio 4 della sezione Autorizzazioni. Questo processo è automatico. Il IAM ruolo che consenti a Snowball di assumere viene utilizzato solo per scrivere i dati nel bucket quando arriva lo Snowball con i dati trasferiti. AWS La procedura seguente illustra tale processo.

Per creare il IAM ruolo per il tuo i

  1. Accedi a AWS Management Console e apri la AWS Snowball console all'indirizzo https://console.aws.amazon.com/importexport/.

  2. Scegli Crea processo.

  3. Nel primo passaggio, inserisci i dettagli per il processo di importazione in Amazon S3, quindi scegli Avanti.

  4. Nel secondo passaggio, in Autorizzazione, scegli IAMCrea/Seleziona ruolo.

    Si apre la console di IAM gestione, che mostra il IAM ruolo AWS utilizzato per copiare gli oggetti nei bucket Amazon S3 specificati.

  5. Esaminare i dettagli in questa pagina, quindi scegliere Allow (Consenti).

    Ritorni al Console di gestione della famiglia di servizi AWS Snow, dove Selected IAM role ARN contiene l'Amazon Resource Name (ARN) per il IAM ruolo che hai appena creato.

  6. Scegli Avanti per completare la creazione del IAM ruolo.

La procedura precedente crea un IAM ruolo con autorizzazioni di scrittura per i bucket Amazon S3 in cui intendi importare i dati. Il IAM ruolo creato ha una delle seguenti strutture, a seconda che si tratti di un lavoro di importazione o di esportazione.

IAMRuolo per un Import Job


          {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListBucketMultipartUploads"
      ],
      "Resource": "arn:aws:s3:::*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketPolicy",
        "s3:PutObject",
        "s3:AbortMultipartUpload",
        "s3:ListMultipartUploadParts",
        "s3:PutObjectAcl",
        "s3:ListBucket"
      ],
      "Resource": "arn:aws:s3:::*"
    }
  ]
}

Se utilizzi la crittografia lato server con chiavi AWS KMS gestite (SSE-KMS) per crittografare i bucket Amazon S3 associati al tuo processo di importazione, devi anche aggiungere la seguente dichiarazione al tuo ruolo. IAM

{
     "Effect": "Allow",
     "Action": [
       "kms:GenerateDataKey"
     ],
     "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}

Se le dimensioni degli oggetti sono maggiori, il client Amazon S3 utilizzato per il processo di importazione utilizza il caricamento in più parti. Se avvii un caricamento in più parti utilizzando SSE -KMS, tutte le parti caricate vengono crittografate utilizzando la chiave specificata. AWS KMS Poiché le parti sono crittografate, devono essere decrittografate prima di poter essere assemblate per completare il caricamento multipart. Quindi devi avere l'autorizzazione per decrittografare la AWS KMS chiave (kms:Decrypt) quando esegui un caricamento multiparte su Amazon S3 con -. SSE KMS

Di seguito è riportato un esempio di IAM ruolo necessario per un processo di importazione che richiede l'autorizzazione. kms:Decrypt

{
    "Effect": "Allow",
     "Action": [
       "kms:GenerateDataKey","kms:Decrypt"

     ],
     "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}

Di seguito è riportato un esempio di IAM ruolo necessario per un processo di esportazione.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:GetBucketPolicy",
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": "arn:aws:s3:::*"
    }
  ]
}

Se utilizzi la crittografia lato server con chiavi AWS KMS gestite per crittografare i bucket Amazon S3 associati al tuo processo di esportazione, devi anche aggiungere la seguente dichiarazione al tuo ruolo. IAM

{
     "Effect": "Allow",
     "Action": [
            “kms:Decrypt”
      ],
     "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}

Puoi creare IAM politiche personalizzate per consentire le autorizzazioni per le operazioni di gestione dei lavori. API AWS Snowball È possibile allegare queste politiche personalizzate agli IAM utenti o ai gruppi che richiedono tali autorizzazioni.