기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
고객 관리형 정책 예
이 섹션에서는 다양한 AWS Snowball 작업 관리 작업에 대한 권한을 부여하는 예제 사용자 정책을 찾을 수 있습니다. 이러한 정책은 AWS SDKs 또는 를 사용할 때 작동합니다 AWS CLI. 콘솔을 사용하는 경우 AWS Snowball 콘솔 사용에 필요한 권한의 설명과 같이 콘솔에 특정한 추가 권한을 부여해야 합니다.
참고
모든 예제에서는 us-west-2 리전을 사용하고 가상 계정 을 포함합니다IDs.
예시
예제 1: 사용자가 를 사용하여 Snow Family 디바이스를 주문할 수 있는 작업을 생성할 수 있도록 허용하는 역할 정책 API
다음 권한 정책은 작업 관리 를 사용하여 작업 또는 클러스터 생성 권한을 부여하는 데 사용되는 모든 정책의 필수 구성 요소입니다API. 문은 Snowball IAM 역할에 대한 신뢰 관계 정책 문으로 필요합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "importexport.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
예 2: 가져오기 작업 생성을 위한 역할 정책
AWS IoT Greengrass 함수 AWS Lambda 기반 를 사용하는 Snowball Edge에 대한 가져오기 작업을 생성하려면 다음 역할 신뢰 정책을 사용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucketMultipartUploads" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "s3:GetBucketPolicy", "s3:GetBucketLocation", "s3:ListBucketMultipartUploads", "s3:ListBucket", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts", "s3:PutObjectAcl", "s3:GetObject" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CreateKeysAndCertificate", "iot:CreatePolicy", "iot:CreateThing", "iot:DescribeEndpoint", "iot:GetPolicy" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetFunction" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "greengrass:CreateCoreDefinition", "greengrass:CreateDeployment", "greengrass:CreateDeviceDefinition", "greengrass:CreateFunctionDefinition", "greengrass:CreateGroup", "greengrass:CreateGroupVersion", "greengrass:CreateLoggerDefinition", "greengrass:CreateSubscriptionDefinition", "greengrass:GetDeploymentStatus", "greengrass:UpdateGroupCertificateConfiguration", "greengrass:CreateGroupCertificateAuthority", "greengrass:GetGroupCertificateAuthority", "greengrass:ListGroupCertificateAuthorities", "greengrass:ListDeployments", "greengrass:GetGroup", "greengrass:GetGroupVersion", "greengrass:GetCoreDefinitionVersion" ], "Resource": [ "*" ] } ] }
예 3: 내보내기 작업 생성을 위한 역할 정책
AWS IoT Greengrass 함수 AWS Lambda 기반 를 사용하는 Snowball Edge에 대한 내보내기 작업을 생성하려면 다음 역할 신뢰 정책을 사용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CreateKeysAndCertificate", "iot:CreatePolicy", "iot:CreateThing", "iot:DescribeEndpoint", "iot:GetPolicy" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetFunction" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "greengrass:CreateCoreDefinition", "greengrass:CreateDeployment", "greengrass:CreateDeviceDefinition", "greengrass:CreateFunctionDefinition", "greengrass:CreateGroup", "greengrass:CreateGroupVersion", "greengrass:CreateLoggerDefinition", "greengrass:CreateSubscriptionDefinition", "greengrass:GetDeploymentStatus", "greengrass:UpdateGroupCertificateConfiguration", "greengrass:CreateGroupCertificateAuthority", "greengrass:GetGroupCertificateAuthority", "greengrass:ListGroupCertificateAuthorities", "greengrass:ListDeployments", "greengrass:GetGroup", "greengrass:GetGroupVersion", "greengrass:GetCoreDefinitionVersion" ], "Resource": [ "*" ] } ] }
예시 4: 예상 역할 권한 및 신뢰 정책
기존 서비스 역할을 사용하려면 다음과 같은 예상 역할 권한 정책이 필요합니다. 이는 한 번만 설정할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sns:Publish", "Resource": ["[[snsArn]]"] }, { "Effect": "Allow", "Action": [ "cloudwatch:ListMetrics", "cloudwatch:GetMetricData", "cloudwatch:PutMetricData" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/SnowFamily" } } } ] }
기존 서비스 역할을 사용하려면 다음과 같은 예상 역할 신뢰 정책이 필요합니다. 이는 한 번만 설정할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "importexport.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
AWS Snowball API 권한: 작업, 리소스 및 조건 참조
IAM 자격 증명에 연결할 수 있는 권한 정책(자격 증명 기반 정책)을 설정하고 의 액세스 제어 AWS 클라우드 작성할 때 다음 테이블 참조로 사용할 수 있습니다. 다음 표에는 각 AWS Snowball 작업 관리 API 작업과 작업을 수행할 수 있는 권한을 부여할 수 있는 해당 작업이 있습니다. 또한 각 API 작업에 대해 권한을 부여할 수 있는 AWS 리소스도 포함됩니다. 정책의 Action필드에서 작업을 지정하고, 정책의 Resource필드에서 리소스 값을 지정합니다.
AWS Snowball 정책에서 AWS전체 조건 키를 사용하여 조건을 표현할 수 있습니다. AWS전체 키의 전체 목록은 IAM 사용 설명서의 사용 가능한 키를 참조하세요.
참고
작업을 지정하려면 snowball: 접두사와 API 작업 이름(예: )을 차례로 사용합니다snowball:CreateJob.
스크롤 막대를 사용하여 표의 나머지 부분을 확인합니다.
