翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
お客様が管理するポリシーの例
このセクションでは、さまざまな AWS Snowball ジョブ管理アクションのアクセス許可を付与するユーザーポリシーの例を示します。これらのポリシーは、 AWS SDKsまたは を使用している場合に機能します AWS CLI。コンソールを使用している場合は、「AWS Snowball コンソールを使用するために必要なアクセス許可」で説明しているコンソールに固有の追加のアクセス権限を付与する必要があります。
注記
すべての例では us-west-2 リージョンを使用し、架空のアカウント が含まれていますIDs。
例
例 1: ユーザーがジョブを作成して を使用して Snow Family デバイスを注文できるようにするロールポリシー API
次のアクセス許可ポリシーは、ジョブ管理 を使用してジョブまたはクラスター作成アクセス許可を付与するために使用されるポリシーの必須コンポーネントですAPI。このステートメントは、Snowball IAMロールの信頼関係ポリシーステートメントとして必要です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "importexport.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
例 2: インポートジョブを作成するためのロールポリシー
AWS Lambda AWS IoT Greengrass 関数を搭載した を使用する Snowball Edge のインポートジョブを作成するには、次のロール信頼ポリシーを使用します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucketMultipartUploads" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "s3:GetBucketPolicy", "s3:GetBucketLocation", "s3:ListBucketMultipartUploads", "s3:ListBucket", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts", "s3:PutObjectAcl", "s3:GetObject" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CreateKeysAndCertificate", "iot:CreatePolicy", "iot:CreateThing", "iot:DescribeEndpoint", "iot:GetPolicy" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetFunction" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "greengrass:CreateCoreDefinition", "greengrass:CreateDeployment", "greengrass:CreateDeviceDefinition", "greengrass:CreateFunctionDefinition", "greengrass:CreateGroup", "greengrass:CreateGroupVersion", "greengrass:CreateLoggerDefinition", "greengrass:CreateSubscriptionDefinition", "greengrass:GetDeploymentStatus", "greengrass:UpdateGroupCertificateConfiguration", "greengrass:CreateGroupCertificateAuthority", "greengrass:GetGroupCertificateAuthority", "greengrass:ListGroupCertificateAuthorities", "greengrass:ListDeployments", "greengrass:GetGroup", "greengrass:GetGroupVersion", "greengrass:GetCoreDefinitionVersion" ], "Resource": [ "*" ] } ] }
例 3: エクスポートジョブを作成するためのロールポリシー
AWS Lambda AWS IoT Greengrass 関数を搭載した を使用する Snowball Edge のエクスポートジョブを作成するには、次のロール信頼ポリシーを使用します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CreateKeysAndCertificate", "iot:CreatePolicy", "iot:CreateThing", "iot:DescribeEndpoint", "iot:GetPolicy" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetFunction" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "greengrass:CreateCoreDefinition", "greengrass:CreateDeployment", "greengrass:CreateDeviceDefinition", "greengrass:CreateFunctionDefinition", "greengrass:CreateGroup", "greengrass:CreateGroupVersion", "greengrass:CreateLoggerDefinition", "greengrass:CreateSubscriptionDefinition", "greengrass:GetDeploymentStatus", "greengrass:UpdateGroupCertificateConfiguration", "greengrass:CreateGroupCertificateAuthority", "greengrass:GetGroupCertificateAuthority", "greengrass:ListGroupCertificateAuthorities", "greengrass:ListDeployments", "greengrass:GetGroup", "greengrass:GetGroupVersion", "greengrass:GetCoreDefinitionVersion" ], "Resource": [ "*" ] } ] }
例 4: 期待されるロールのアクセス許可と信頼ポリシー
既存のサービスロールを使用するには、以下の期待されるロールのアクセス許可ポリシーが必要です。これは 1 回限りの設定です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sns:Publish", "Resource": ["[[snsArn]]"] }, { "Effect": "Allow", "Action": [ "cloudwatch:ListMetrics", "cloudwatch:GetMetricData", "cloudwatch:PutMetricData" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/SnowFamily" } } } ] }
既存のサービスロールを使用するには、以下の期待されるロールの信頼ポリシーが必要です。これは 1 回限りの設定です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "importexport.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
AWS Snowball API アクセス許可: アクション、リソース、および条件リファレンス
IAM ID にアタッチできるアクセス許可ポリシー (アイデンティティベースのポリシー) を設定のアクセスコントロール AWS クラウドして記述する場合、次のテーブルを参照として使用できます。次の表、各 AWS Snowball ジョブ管理APIオペレーションと、アクションを実行するためのアクセス許可を付与できる対応するアクションが含まれています。また、アクセス許可を付与できる AWS リソースをAPIオペレーションごとに含めます。ポリシーの Action フィールドでアクションを指定し、ポリシーの Resource フィールドでリソースの値を指定します。
AWS Snowball ポリシーで AWS全体の条件キーを使用して条件を表現できます。 AWS全体のキーの完全なリストについては、 IAM ユーザーガイドの「使用可能なキー」を参照してください。
注記
アクションを指定するには、snowball:プレフィックスの後にAPIオペレーション名 (例: ) を使用しますsnowball:CreateJob。
スクロールバーを使用して、テーブルの残りの部分を確認します。
