Utilizzo IAM locale su un dispositivo Snow Family - AWS Snowball Edge Guida per gli sviluppatori

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo IAM locale su un dispositivo Snow Family

AWS Identity and Access Management (IAM) consente di controllare in modo sicuro l'accesso alle AWS risorse eseguite sul dispositivo AWS Snowball Edge . Lo usi IAM per controllare chi è autenticato (ha effettuato l'accesso) e autorizzato (dispone delle autorizzazioni) a utilizzare le risorse.

IAMè supportato localmente sul tuo dispositivo. È possibile utilizzare il IAM servizio locale per creare nuovi utenti e allegare loro IAM delle politiche. È possibile utilizzare questi criteri per consentire l'accesso necessario per eseguire le attività assegnate. Ad esempio, puoi dare a un utente la possibilità di trasferire dati, ma limitarne la possibilità di creare nuove istanze EC2 compatibili con Amazon.

Inoltre, puoi creare credenziali locali basate sulla sessione utilizzando AWS Security Token Service ()AWS STS sul tuo dispositivo. Per informazioni sul IAM servizio, consulta Guida introduttiva nella Guida per l'IAMutente.

Le credenziali root del dispositivo non possono essere disabilitate e non è possibile utilizzare le policy del proprio account per negare esplicitamente l'accesso all'utente root. Account AWS Ti consigliamo di proteggere le chiavi di accesso dell'utente root e di creare credenziali IAM utente per l'interazione quotidiana con il tuo dispositivo.

Importante

La documentazione in questa sezione si applica all'utilizzo IAM locale su un dispositivo AWS Snowball Edge. Per informazioni sull'utilizzo IAM in Cloud AWS, vedereIdentity and Access Management in AWS Snowball.

AWS Affinché i servizi funzionino correttamente su Snowball Edge, è necessario consentire le porte per i servizi. Per informazioni dettagliate, consultare Requisiti delle porte per AWS i servizi su un dispositivo Snow Family.

Uso delle API operazioni AWS CLI e su Snowball Edge

Quando usi i EC2 comandi AWS CLI or API operations to issue IAM AWS STS, Amazon S3 e Amazon su Snowball Edge, devi specificarli come "». region snow È possibile eseguire questa operazione utilizzando aws configure o all'interno del comando stesso, come negli esempi seguenti.

aws configure --profile abc AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE AWS Secret Access Key [None]: 1234567 Default region name [None]: snow Default output format [None]: json

Or

aws iam list-users --profile snowballEdge --endpoint http://192.0.2.0:6078 --region snow
Nota

L'ID della chiave di accesso e la chiave segreta di accesso utilizzati localmente su AWS Snowball Edge non possono essere scambiati con le chiavi di. Cloud AWS

Elenco dei IAM AWS CLI comandi supportati su Snowball Edge

Di seguito è riportata una descrizione del sottoinsieme di AWS CLI comandi e opzioni IAM supportati dai dispositivi Snowball Edge. Un comando o un'opzione non incluso nell'elenco seguente non è supportato. I parametri non supportati per i comandi sono annotati nella descrizione.

  • attach-role-policy— Associa la politica gestita specificata al ruolo specificato. IAM

  • attach-user-policy— Allega la politica gestita specificata all'utente specificato.

  • create-access-key— Crea una nuova chiave di accesso IAM segreta locale e l'ID della chiave di AWS accesso corrispondente per l'utente specificato.

  • create-policy: crea una nuova policy IAM gestita per il dispositivo.

  • create-role: crea un nuovo IAM ruolo locale per il tuo dispositivo. I seguenti parametri non sono supportati:

    • Tags

    • PermissionsBoundary

  • create-user: crea un nuovo IAM utente locale per il tuo dispositivo. I seguenti parametri non sono supportati:

    • Tags

    • PermissionsBoundary

  • delete-access-key— Elimina una nuova chiave di accesso IAM segreta locale e l'ID della chiave di AWS accesso corrispondente per l'utente specificato.

  • delete-policy — Elimina la policy gestita specificata.

  • delete-role — Elimina il ruolo specificato.

  • delete-user — Elimina l'utente specificato.

  • detach-role-policy— Rimuove la politica gestita specificata dal ruolo specificato.

  • detach-user-policy— Rimuove la politica gestita specificata dall'utente specificato.

  • get-policy: recupera le informazioni sulla politica gestita specificata, inclusa la versione predefinita della politica e il numero totale di IAM utenti, gruppi e ruoli locali a cui è associata la politica.

  • get-policy-version— Recupera informazioni sulla versione specificata della policy gestita specificata, incluso il documento relativo alla policy.

  • get-role: recupera le informazioni sul ruolo specificato, incluso il percorso del ruolo e la politica di fiducia del ruolo che concede l'autorizzazione ad assumere il ruolo. GUID ARN

  • get-user: recupera le informazioni sull'utente specificato, tra cui la data di creazione IAM dell'utente, il percorso, l'ID univoco e. ARN

  • list-access-keys— Restituisce informazioni sulla chiave di accesso IDs associata all'utente specificato. IAM

  • list-attached-role-policies— Elenca tutte le politiche gestite associate al IAM ruolo specificato.

  • list-attached-user-policies— Elenca tutte le policy gestite allegate all'IAMutente specificato.

  • list-entities-for-policy— Elenca tutti IAM gli utenti, i gruppi e i ruoli locali a cui è associata la politica gestita specificata.

    • --EntityFilter: sono supportati solo i valori user e role.

  • list-policies: elenca tutte le politiche gestite disponibili nel tuo locale. Account AWS Il parametro seguente non è supportato:

    • --PolicyUsageFilter

  • list-roles: elenca i IAM ruoli locali con il prefisso di percorso specificato.

  • list-users: elenca gli utenti con il IAM prefisso di percorso specificato.

  • update-access-key— Modifica lo stato della chiave di accesso specificata da Attivo a Inattivo o viceversa.

  • update-assume-role-policy— Aggiorna la politica che concede a un'IAMentità il permesso di assumere un ruolo.

  • update-role: aggiorna la descrizione o l'impostazione della durata massima della sessione di un ruolo.

  • update-user — Aggiorna il nome e/o il percorso dell'utente specificato. IAM

IAMAPIOperazioni supportate sui dispositivi Snow Family

Di seguito sono elencate le IAM API operazioni che è possibile utilizzare con uno Snowball Edge, con collegamenti alle relative descrizioni nella IAM API Guida di riferimento.

  • AttachRolePolicy— Associa la politica gestita specificata al ruolo specificatoIAM.

  • AttachUserPolicy— Allega la politica gestita specificata all'utente specificato.

  • CreateAccessKey— Crea una nuova chiave di accesso IAM segreta locale e l'ID della chiave di AWS accesso corrispondente per l'utente specificato.

  • CreatePolicy— Crea una nuova politica IAM gestita per il dispositivo.

  • CreateRole— Crea un nuovo IAM ruolo locale per il dispositivo.

  • CreateUser— Crea un nuovo IAM utente locale per il dispositivo.

    I seguenti parametri non sono supportati:

    • Tags

    • PermissionsBoundary

  • DeleteAccessKey— Elimina la chiave di accesso specificata.

  • DeletePolicy— Elimina la politica gestita specificata.

  • DeleteRole— Elimina il ruolo specificato.

  • DeleteUser— Elimina l'utente specificato.

  • DetachRolePolicy— Rimuove la politica gestita specificata dal ruolo specificato.

  • DetachUserPolicy— Rimuove la politica gestita specificata dall'utente specificato.

  • GetPolicy— Recupera le informazioni sulla politica gestita specificata, inclusa la versione predefinita della politica e il numero totale di IAM utenti, gruppi e ruoli locali a cui è associata la politica.

  • GetPolicyVersion— Recupera informazioni sulla versione specificata della policy gestita specificata, incluso il documento relativo alla policy.

  • GetRole— Recupera informazioni sul ruolo specificato, incluso il percorso del ruolo e la politica di fiducia del ruolo che concede l'autorizzazione ad assumere il ruolo. GUID ARN

  • GetUser— Recupera informazioni sull'IAMutente specificato, tra cui la data di creazione dell'utente, il percorso, l'ID univoco e. ARN

  • ListAccessKeys— Restituisce informazioni sulla chiave di accesso IDs associata all'IAMutente specificato.

  • ListAttachedRolePolicies— Elenca tutte le politiche gestite associate al IAM ruolo specificato.

  • ListAttachedUserPolicies— Elenca tutte le policy gestite allegate all'IAMutente specificato.

  • ListEntitiesForPolicy— Recupera informazioni sull'IAMutente specificato, tra cui la data di creazione dell'utente, il percorso, l'ID univoco eARN.

    • --EntityFilter: sono supportati solo i valori user e role.

  • ListPolicies— Elenca tutte le politiche gestite disponibili nel locale Account AWS. Il parametro seguente non è supportato:

    • --PolicyUsageFilter

  • ListRoles— Elenca i IAM ruoli locali con il prefisso di percorso specificato.

  • ListUsers— Elenca gli IAM utenti con il prefisso di percorso specificato.

  • UpdateAccessKey— Modifica lo stato della chiave di accesso specificata da Attivo a Inattivo o viceversa.

  • UpdateAssumeRolePolicy— Aggiorna la politica che concede a un'IAMentità il permesso di assumere un ruolo.

  • UpdateRole— Aggiorna la descrizione o l'impostazione della durata massima della sessione di un ruolo.

  • UpdateUser— Aggiorna il nome e/o il percorso dell'IAMutente specificato.

Versione e grammatica IAM della policy supportate sui dispositivi Snow Family

Di seguito è riportata la versione di IAM supporto locale 2012-10-17 della IAM politica e un sottoinsieme della grammatica della politica.

Tipo di policy Grammatica supportata
Criteri basati sull'identità (criterio utente/ruolo) "Effect", "Action" e "Resource"
Nota

Local IAM non supporta "Condition«," «," "NotActione"»NotResource. Principal

Criteri basati sulle risorse (criteri di attendibilità dei ruoli) "Effect", "Action" e "Principal"
Nota

Per Principal, è consentito solo l' Account AWS ID o l'ID principale.

IAMesempi di policy sui dispositivi Snow Family

Nota

AWS Identity and Access Management (IAM) gli utenti necessitano "snowballdevice:*" delle autorizzazioni per utilizzare l'AWS OpsHub for Snow Family applicazione per gestire i dispositivi Snow Family.

Di seguito sono riportati alcuni esempi di policy che concedono autorizzazioni a un dispositivo Snowball Edge.

Consentire la GetUser chiamata a un utente campione su un dispositivo Snow Family tramite IAM API

Utilizza la seguente politica per consentire la GetUser chiamata a un utente campione tramite IAMAPI.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "iam:GetUser", "Resource": "arn:aws:iam:::user/example-user" } ] }

Consentire l'accesso completo ad Amazon S3 API su un dispositivo della famiglia Snow

Utilizza la seguente policy per consentire l'accesso completo ad Amazon S3API.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "s3:*", "Resource": "*" } ] }

Consentire l'accesso in lettura e scrittura a un bucket Amazon S3 su un dispositivo Snow Family

Utilizzare il criterio seguente per consentire l'accesso in lettura e scrittura a un bucket specifico.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListObjectsInBucket", "Effect": "Allow", "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::bucket-name" }, { "Sid": "AllObjectActions", "Effect": "Allow", "Action": "s3:*Object", "Resource": "arn:aws:s3:::bucket-name/*" } ] }

Consentire l'accesso a un bucket Amazon S3 su un dispositivo della famiglia Snow

Utilizza la seguente politica per consentire l'accesso a List, Get e Put a un bucket S3 specifico.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:List*" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*" } ] }

Consentire l'accesso completo ad Amazon EC2 API su un dispositivo Snow Family

Utilizza la seguente politica per consentire l'accesso completo ad AmazonEC2.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:*", "Resource": "*" } ] }

Consentire l'accesso per avviare e arrestare istanze EC2 compatibili con Amazon su un dispositivo Snow Family

Utilizza la seguente politica per consentire l'accesso all'avvio e all'arresto EC2 delle istanze Amazon.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances" ], "Resource": "*" } ] }

Negare le chiamate DescribeLaunchTemplates ma consentire tutte le chiamate verso DescribeImages un dispositivo Snow Family

Utilizzare il seguente criterio per negare le chiamate DescribeLaunchTemplates ma consentire tutte le chiamate a DescribeImages.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ec2:DescribeLaunchTemplates" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages" ], "Resource": "*" } ] }

Politica per le API chiamate su un dispositivo Snow Family

Elenca tutte le politiche gestite disponibili sul dispositivo Snow, incluse le politiche gestite definite dal cliente. Maggiori dettagli in list-policies.

aws iam list-policies --endpoint http://ip-address:6078 --profile snowballEdge --region snow { "Policies": [ { "PolicyName": "Administrator", "Description": "Root user admin policy for Account 123456789012", "CreateDate": "2020-03-04T17:44:59.412Z", "AttachmentCount": 1, "IsAttachable": true, "PolicyId": "policy-id", "DefaultVersionId": "v1", "Path": "/", "Arn": "arn:aws:iam::123456789012:policy/Administrator", "UpdateDate": "2020-03-04T19:10:45.620Z" } ] }

TrustPolicy esempio su un dispositivo Snow Family

Una politica di fiducia restituisce una serie di credenziali di sicurezza temporanee che puoi utilizzare per accedere a AWS risorse a cui normalmente potresti non avere accesso. Le credenziali temporanee sono costituite da un ID chiave di accesso, una chiave di accesso segreta e un token di sicurezza. In genere, si utilizza AssumeRole nel proprio account per l'accesso tra account.

Di seguito è illustrato un esempio di policy di attendibilità. Per ulteriori informazioni sulla politica di fiducia, vedere AssumeRolenella Guida di AWS Security Token Service APIriferimento.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::AccountId:root" //You can use the Principal ID instead of the account ID. ] }, "Action": [ "sts:AssumeRole" ] } ] }