Utilizzo di IAM localmente su Snowball Edge - AWS Snowball Edge Guida per gli sviluppatori
Utilizzo di AWS CLI e API OperationsComandi IAM AWS CLI supportati Esempi di policy IAM su Snowball EdgeTrustPolicy esempio su Snowball Edge

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di IAM localmente su Snowball Edge

AWS Identity and Access Management (IAM) ti aiuta a controllare in modo sicuro l'accesso alle AWS risorse eseguite sul tuo AWS Snowball Edge dispositivo. Utilizza IAM per controllare chi è autenticato (accesso effettuato) e autorizzato (dispone di autorizzazioni) per l'utilizzo di risorse.

IAM è supportato localmente sul tuo dispositivo. Puoi utilizzare il servizio IAM locale per creare nuovi utenti e allegare loro policy IAM. È possibile utilizzare questi criteri per consentire l'accesso necessario per eseguire le attività assegnate. Ad esempio, puoi dare a un utente la possibilità di trasferire dati, ma limitarne la possibilità di creare nuove istanze EC2 compatibili con Amazon.

Inoltre, puoi creare credenziali locali basate sulla sessione utilizzando AWS Security Token Service ()AWS STS sul tuo dispositivo. Per informazioni sul servizio IAM, consulta la Guida introduttiva alla IAM User Guide.

Le credenziali root del tuo dispositivo non possono essere disabilitate e non puoi utilizzare le policy all'interno del tuo account per negare esplicitamente l'accesso all'utente root. Account AWS Ti consigliamo di proteggere le chiavi di accesso dell'utente root e di creare credenziali utente IAM per l'interazione quotidiana con il tuo dispositivo.

Importante

La documentazione in questa sezione si applica all'utilizzo di IAM localmente su un dispositivo AWS Snowball Edge. Per informazioni sull'utilizzo di IAM in Cloud AWS, consultaIdentity and Access Management in AWS Snowball.

AWS Affinché i servizi funzionino correttamente su Snowball Edge, è necessario consentire le porte per i servizi. Per informazioni dettagliate, consultare Requisiti delle porte per AWS i servizi su Snowball Edge.

Utilizzo delle operazioni AWS CLI e dell'API su Snowball Edge

Quando utilizzi le operazioni AWS CLI o API per emettere EC2 comandi IAM AWS STS, Amazon S3 e Amazon su Snowball Edge, devi specificare come ".» region snow È possibile eseguire questa operazione utilizzando aws configure o all'interno del comando stesso, come negli esempi seguenti.


aws configure --profile abc
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: 1234567
Default region name [None]: snow
Default output format [None]: json

Or


aws iam list-users --endpoint http://192.0.2.0:6078 --region snow --profile snowballEdge
Nota

L'ID della chiave di accesso e la chiave segreta di accesso utilizzati localmente su AWS Snowball Edge non possono essere scambiati con le chiavi di. Cloud AWS

Elenco dei AWS CLI comandi IAM supportati su Snowball Edge

Di seguito è riportata una descrizione del sottoinsieme di AWS CLI comandi e opzioni per IAM supportati sui dispositivi Snowball Edge. Un comando o un'opzione non incluso nell'elenco seguente non è supportato. I parametri non supportati per i comandi sono annotati nella descrizione.

  • attach-role-policy— Allega la policy gestita specificata al ruolo IAM specificato.

  • attach-user-policy— Allega la politica gestita specificata all'utente specificato.

  • create-access-key— Crea una nuova chiave di accesso segreta IAM locale e l'ID della chiave di AWS accesso corrispondente per l'utente specificato.

  • create-policy: crea una nuova policy gestita da IAM per il tuo dispositivo.

  • create-role: crea un nuovo ruolo IAM locale per il tuo dispositivo. I seguenti parametri non sono supportati:

    • Tags

    • PermissionsBoundary

  • create-user: crea un nuovo utente IAM locale per il tuo dispositivo. I seguenti parametri non sono supportati:

    • Tags

    • PermissionsBoundary

  • delete-access-key— Elimina una nuova chiave di accesso segreta IAM locale e l'ID della chiave di AWS accesso corrispondente per l'utente specificato.

  • delete-policy — Elimina la policy gestita specificata.

  • delete-role — Elimina il ruolo specificato.

  • delete-user — Elimina l'utente specificato.

  • detach-role-policy— Rimuove la politica gestita specificata dal ruolo specificato.

  • detach-user-policy— Rimuove la politica gestita specificata dall'utente specificato.

  • get-policy: recupera le informazioni sulla policy gestita specificata, inclusa la versione predefinita della policy e il numero totale di utenti, gruppi e ruoli IAM locali a cui è associata la policy.

  • get-policy-version— Recupera informazioni sulla versione specificata della policy gestita specificata, incluso il documento relativo alla policy.

  • get-role — Recupera informazioni sul ruolo specificato, inclusi il percorso del ruolo, il GUID, l'ARN e la politica di fiducia del ruolo che concede l'autorizzazione ad assumere il ruolo.

  • get-user — Recupera informazioni sull'utente IAM specificato, tra cui la data di creazione, il percorso, l'ID univoco e l'ARN dell'utente.

  • list-access-keys— Restituisce informazioni sulla chiave di accesso IDs associata all'utente IAM specificato.

  • list-attached-role-policies— Elenca tutte le policy gestite associate al ruolo IAM specificato.

  • list-attached-user-policies— Elenca tutte le policy gestite collegate all'utente IAM specificato.

  • list-entities-for-policy— Elenca tutti gli utenti, i gruppi e i ruoli IAM locali a cui è associata la policy gestita specificata.

    • --EntityFilter: sono supportati solo i valori user e role.

  • list-policies: elenca tutte le policy gestite disponibili nel tuo locale. Account AWS Il parametro seguente non è supportato:

    • --PolicyUsageFilter

  • list-roles: elenca i ruoli IAM locali con il prefisso di percorso specificato.

  • list-users: elenca gli utenti IAM con il prefisso di percorso specificato.

  • update-access-key— Modifica lo stato della chiave di accesso specificata da Attivo a Inattivo o viceversa.

  • update-assume-role-policy— Aggiorna la policy che concede a un'entità IAM l'autorizzazione ad assumere un ruolo.

  • update-role: aggiorna la descrizione o l'impostazione della durata massima della sessione di un ruolo.

  • update-user: aggiorna il nome e/o il percorso dell'utente IAM specificato.

Operazioni API IAM supportate su Snowball Edge

Di seguito sono elencate le operazioni dell'API IAM che puoi utilizzare con Snowball Edge, con collegamenti alle relative descrizioni nella Guida di riferimento all'API IAM.

  • AttachRolePolicy— Allega la policy gestita specificata al ruolo IAM specificato.

  • AttachUserPolicy— Allega la politica gestita specificata all'utente specificato.

  • CreateAccessKey— Crea una nuova chiave di accesso segreta IAM locale e l'ID della chiave di AWS accesso corrispondente per l'utente specificato.

  • CreatePolicy— Crea una nuova policy gestita da IAM per il tuo dispositivo.

  • CreateRole— Crea un nuovo ruolo IAM locale per il tuo dispositivo.

  • CreateUser— Crea un nuovo utente IAM locale per il tuo dispositivo.

    I seguenti parametri non sono supportati:

    • Tags

    • PermissionsBoundary

  • DeleteAccessKey— Elimina la chiave di accesso specificata.

  • DeletePolicy— Elimina la politica gestita specificata.

  • DeleteRole— Elimina il ruolo specificato.

  • DeleteUser— Elimina l'utente specificato.

  • DetachRolePolicy— Rimuove la politica gestita specificata dal ruolo specificato.

  • DetachUserPolicy— Rimuove la politica gestita specificata dall'utente specificato.

  • GetPolicy— Recupera le informazioni sulla policy gestita specificata, inclusa la versione predefinita della policy e il numero totale di utenti, gruppi e ruoli IAM locali a cui è associata la policy.

  • GetPolicyVersion— Recupera informazioni sulla versione specificata della policy gestita specificata, incluso il documento relativo alla policy.

  • GetRole— Recupera informazioni sul ruolo specificato, inclusi il percorso del ruolo, il GUID, l'ARN e la politica di fiducia del ruolo che concede l'autorizzazione ad assumere il ruolo.

  • GetUser— Recupera informazioni sull'utente IAM specificato, tra cui la data di creazione, il percorso, l'ID univoco e l'ARN dell'utente.

  • ListAccessKeys— Restituisce informazioni sulla chiave di accesso IDs associata all'utente IAM specificato.

  • ListAttachedRolePolicies— Elenca tutte le policy gestite associate al ruolo IAM specificato.

  • ListAttachedUserPolicies— Elenca tutte le policy gestite collegate all'utente IAM specificato.

  • ListEntitiesForPolicy— Recupera informazioni sull'utente IAM specificato, tra cui la data di creazione, il percorso, l'ID univoco e l'ARN dell'utente.

    • --EntityFilter: sono supportati solo i valori user e role.

  • ListPolicies— Elenca tutte le politiche gestite disponibili nel tuo locale. Account AWS Il parametro seguente non è supportato:

    • --PolicyUsageFilter

  • ListRoles— Elenca i ruoli IAM locali con il prefisso di percorso specificato.

  • ListUsers— Elenca gli utenti IAM con il prefisso di percorso specificato.

  • UpdateAccessKey— Modifica lo stato della chiave di accesso specificata da Attivo a Inattivo o viceversa.

  • UpdateAssumeRolePolicy— Aggiorna la policy che concede a un'entità IAM l'autorizzazione ad assumere un ruolo.

  • UpdateRole— Aggiorna la descrizione o l'impostazione della durata massima della sessione di un ruolo.

  • UpdateUser— Aggiorna il nome e/o il percorso dell'utente IAM specificato.

Versione e grammatica delle policy IAM supportate su Snowball Edge

Di seguito è riportata la versione di supporto IAM locale 2012-10-17 del criterio IAM e un sottoinsieme della grammatica dei criteri.

Tipo di policy Grammatica supportata
Criteri basati sull'identità (criterio utente/ruolo) "Effect", "Action" e "Resource"
Nota

IAM locale non supporta "Condition", "NotAction", "NotResource" e "Principal".

Criteri basati sulle risorse (criteri di attendibilità dei ruoli) "Effect", "Action" e "Principal"
Nota

Per Principal, è consentito solo Account AWS l'ID o l'ID principale.

Esempi di policy IAM su Snowball Edge

Nota

AWS Identity and Access Management Gli utenti (IAM) necessitano "snowballdevice:*" delle autorizzazioni per utilizzare l'AWS OpsHub for Snow Family applicazione e gestire Snowball Edge.

Di seguito sono riportati alcuni esempi di policy che concedono autorizzazioni a un dispositivo Snowball Edge.

Consentire la GetUser chiamata per un utente campione su Snowball Edge tramite l'API IAM

Utilizza la seguente policy per consentire la GetUser chiamata a un utente campione tramite l'API IAM.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "iam:GetUser",
            "Resource": "arn:aws:iam:::user/example-user"
        }
    ]
}

Consentire l'accesso completo all'API Amazon S3 su Snowball Edge

Utilizza la seguente policy per consentire l'accesso completo all'API Amazon S3.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": "*"
            
        }
    ]
}

Consentire l'accesso in lettura e scrittura a un bucket Amazon S3 su Snowball Edge

Utilizzare il criterio seguente per consentire l'accesso in lettura e scrittura a un bucket specifico.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::bucket-name"
        },
        {
            "Sid": "AllObjectActions",
            "Effect": "Allow",
            "Action": "s3:*Object",
            "Resource": "arn:aws:s3:::bucket-name/*"
        }
    ]
}

Consentire l'accesso a elenchi, get e put a un bucket Amazon S3 su Snowball Edge

Utilizza la seguente policy per consentire l'accesso a List, Get e Put a un bucket S3 specifico.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:List*"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}

Consentire l'accesso completo all' EC2API Amazon su Snowball Edge

Utilizza la seguente politica per consentire l'accesso completo ad Amazon EC2.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:*",
            "Resource": "*"
        }
    ]
}

Consentire l'accesso per avviare e arrestare istanze EC2 compatibili con Amazon su Snowball Edge

Utilizza la seguente politica per consentire l'accesso all'avvio e all'arresto EC2 delle istanze Amazon.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*"
        }
    ]
}

Negare le chiamate verso uno Snowball Edge, DescribeLaunchTemplates ma consentire DescribeImages a tutte le chiamate di farlo

Utilizzare il seguente criterio per negare le chiamate DescribeLaunchTemplates ma consentire tutte le chiamate a DescribeImages.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ec2:DescribeLaunchTemplates"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages"
            ],
            "Resource": "*"
        }
    ]
}

Criteri per le chiamate API su Snowball Edge

Elenca tutte le policy gestite disponibili sul dispositivo Snow, incluse le policy gestite definite dal cliente. Maggiori dettagli in list-policies.

aws iam list-policies --endpoint http://ip-address:6078 --region snow --profile snowballEdge
{
    "Policies": [
        {
            "PolicyName": "Administrator",
            "Description": "Root user admin policy for Account 123456789012",
            "CreateDate": "2020-03-04T17:44:59.412Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "policy-id",
            "DefaultVersionId": "v1",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:policy/Administrator",
            "UpdateDate": "2020-03-04T19:10:45.620Z"
        }
    ]
}

TrustPolicy esempio su Snowball Edge

Una politica di attendibilità restituisce una serie di credenziali di sicurezza temporanee che è possibile utilizzare per accedere a AWS risorse a cui normalmente non si ha accesso. Le credenziali temporanee sono costituite da un ID chiave di accesso, una chiave di accesso segreta e un token di sicurezza. In genere, si utilizza AssumeRole nel proprio account per l'accesso tra account.

Di seguito è illustrato un esempio di policy di attendibilità. Per ulteriori informazioni sulla politica di fiducia, consulta AssumeRolel'AWS Security Token Service API Reference.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::AccountId:root" //You can use the Principal ID instead of the account ID. 
                ]
            },
            "Action": [
                "sts:AssumeRole"
            ]
        }
    ]
}