Recursos e operações do DataSync Informações sobre propriedade de recursos Gerenciamento de acesso aos recursos Especificar elementos da política: ações, efeitos, recursos e entidades principais Especificar condições em uma política

Gerenciamento de acesso paraAWS DataSync

CadaAWS recurso é de propriedade de umConta da AWS. As permissões para criar ou acessar um recurso são regidas por políticas de permissões. Um administrador de conta pode anexar políticas de permissões às identidadesAWS Identity and Access Management (IAM). Alguns serviços (como o AWS Lambda) também oferecem suporte à anexação de políticas de permissões aos recursos.

nota

O administrador de uma conta é um usuário com privilégios de administrador em umConta da AWS. Para obter mais informações, consulte Melhores práticas do IAM no Guia do usuário do IAM.

Tópicos

Recursos e operações do DataSync
Informações sobre propriedade de recursos
Gerenciamento de acesso aos recursos
Especificar elementos da política: ações, efeitos, recursos e entidades principais
Especificar condições em uma política

Recursos e operações do DataSync

EmDataSync, os principais recursos são agente, localização, tarefa e execução da tarefa.

Esses recursos têm ARNs exclusivos associado, conforme mostrado na tabela a seguir.

Tipo de recurso	Formato ARN
ARN do agente	`arn:aws:datasync:region:account-id:agent/agent-id`
ARN do local	`arn:aws:datasync:region:account-id:location/location-id`
Nome de região da Amazon (ARN) da tarefa	`arn:aws:datasync:region:account-id:task/task-id`
ARN de execução de tarefas	`arn:aws:datasync:region:account-id:task/task-id/execution/exec-id`

Conceder permissões para operações de API específicas, como criar uma tarefa,DataSync define um conjunto de ações que você pode especificar em uma política de permissões. Uma operação de API pode exigir permissões para mais de uma ação. Para obter uma lista de todas as açõesDataSync da API e os recursos aos quais elas se aplicam, consulteDataSyncPermissões de API: ações e recursos.

Informações sobre propriedade de recursos

O proprietário do recurso éConta da AWS quem criou o recurso. Ou seja, o proprietárioConta da AWS do recurso é a entidade principal (por exemplo, uma função do IAM) que autentica a solicitação que cria o recurso. Os exemplos a seguir ilustram como funciona esse comportamento:

Se você usar as credenciais de sua conta raizConta da AWS para criar uma tarefa, vocêConta da AWS será o proprietário do recurso (emDataSync, o recurso é a tarefa).
Se você criar um perfil do IAM em suaConta da AWS e conceder permissões para aCreateTask ação a esse usuário, ele poderá criar uma tarefa. No entanto, seuConta da AWS, à qual o usuário pertence, é proprietária do recurso de tarefa.
Se você criar uma função do IAM em suaConta da AWS com permissões para criar uma tarefa, qualquer pessoa capaz de assumir a respectiva função poderá criar uma tarefa. VocêConta da AWS, à qual a função pertence, é proprietária do recurso de tarefas.

Gerenciamento de acesso aos recursos

A política de permissões descreve quem tem acesso a quê. A seção a seguir explica as opções disponíveis para a criação das políticas de permissões.

nota

Esta seção discute o uso do IAM no contexto do DataSync. Não são fornecidas informações detalhadas sobre o serviço IAM. Para ver a documentação completa do IAM, consulte O que é o IAM? no Guia do usuário do IAM. Para obter informações sobre a sintaxe e as descrições de políticas do IAM, consulte a referência deAWS Identity and Access Management política no Guia do usuário do IAM.

As políticas anexadas a uma identidade do IAM são conhecidas como políticas baseadas em identidade (políticas do IAM;) e as políticas anexadas a um recurso são conhecidas como políticas baseadas em recurso. O DataSync oferece suporte apenas às políticas baseadas em identidade (políticas do IAM).

Políticas baseadas em identidade

Você pode gerenciar o acesso aosDataSync recursos com as políticas do IAM. Essas políticas podem ajudar umConta da AWS administrador a fazer o seguinte comDataSync:

Conceda permissões para criar e gerenciarDataSync recursos — Crie uma política do IAM que permita que uma função do IAM em vocêConta da AWS crie e gerencieDataSync recursos, como agentes, locais e tarefas.
Conceder permissões para uma função em outraConta da AWS ou em umaAWS service (Serviço da AWS) — Crie uma política do IAM que conceda permissões a uma função do IAM em uma função diferenteConta da AWS ou em umaAWS service (Serviço da AWS). Por exemplo:
1. O administrador da conta A cria uma função do IAM e anexa uma política de permissões à função que concede permissões em recursos na conta A.
2. O administrador da conta A anexa uma política de confiança à função que identifica a conta B como a entidade principal, que pode assumir a função.
  
  Para concederAWS service (Serviço da AWS) permissões para assumir a função, o administrador da Conta A pode especificar umAWS service (Serviço da AWS) como principal na política de confiança.
3. O administrador da conta B pode delegar permissões para assumir a função a todos os usuários na conta B. Isso permite que qualquer pessoa usando a função na conta B crie ou acessem recursos na conta A.
Para obter mais informações sobre o uso do IAM para delegar permissões, consulte Gerenciamento de acesso no Manual do usuário do IAM.

O exemplo de política a seguir concede permissões a todasList* as ações em todos os recursos. Essa ação é somente para leitura e não permite a modificação de recursos.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllListActionsOnAllResources",
            "Effect": "Allow",
            "Action": [
                "datasync:List*"
            ],
            "Resource": "*"
        }
    ]
}

Para obter mais informações sobre como usar políticas baseadas em identidade comDataSync, consulte políticasAWS gerenciadas e políticas gerenciadas pelo cliente. Para obter mais informações sobre identidades do IAM, consulte o Guia do usuário do IAM.

Políticas baseadas em recursos

Outros serviços, como o Amazon S3, suportam políticas de permissões baseadas em recursos. Por exemplo, você pode anexar uma política a um bucket do Amazon S3 para gerenciar permissões de acesso a esse bucket. No entanto,DataSync não é compatível com políticas baseadas em recursos.

Especificar elementos da política: ações, efeitos, recursos e entidades principais

Para cada recurso do DataSync (consulte DataSyncPermissões de API: ações e recursos), o serviço define um conjunto de operações de API (consulte Ações). Para conceder permissões a essas operações da API, o DataSync define um conjunto de ações que podem ser especificadas em uma política. Por exemplo, para o recurso do DataSync, as seguintes ações são definidas: CreateTask, DeleteTask e DescribeTask. A execução de uma operação de API pode exigir permissões para mais de uma ação.

Estes são os elementos de política mais básicos:

Recurso – Em uma política, você usa um Amazon Resource Name (ARN – Nome de recurso da Amazon) para identificar o recurso a que a política se aplica. Para os recursos do DataSync, você pode usar o caractere curinga (*) nas políticas do IAM. Para obter mais informações, consulte Recursos e operações do DataSync.
Ação: você usa palavras-chave de ação para identificar operações de recursos que deseja permitir ou negar. Por exemplo, dependendo doEffect elemento especificado, adatasync:CreateTask permissão permite ou nega as permissões do usuário para executar aDataSyncCreateTask operação.
Efeito — Você especifica o efeito quando o usuário solicita a ação específica, que pode serAllow ouDeny. Se você não conceder explicitamente acesso a (Allow) um recurso, o acesso estará implicitamente negado. Você também pode negar explicitamente o acesso a um recurso, o que pode fazer para ter a certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferente conceda acesso a esse usuário. Para obter mais informações, consulte Autorização no Guia do usuário do IAM.
Entidade principal: em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política é anexada é a entidade principal implícita. Para as políticas baseadas em recursos, você especifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (isso se aplica somente a políticas baseadas em recursos). O DataSync não é compatível com as políticas baseadas em recursos.

Para saber mais sobre a sintaxe e as descrições de políticas do IAM, consulte a referênciaAWS Identity and Access Management de política no Guia do usuário do IAM.

Para obter uma tabela que mostra todas as ações de API do DataSync, consulte DataSyncPermissões de API: ações e recursos.

Especificar condições em uma política

Ao conceder permissões, você pode usar a linguagem da política do IAM para especificar as condições sobre quando uma política relativa à concessão de permissões deverá entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre como especificar condições na linguagem de política, consulte Condição no Guia do usuário do IAM.

Para expressar condições, você usa chaves de condição predefinidas. Não existem chaves de condição específicas do DataSync. No entanto, existem chavesAWS de condição de uma que você pode usar conforme apropriado. Para obter uma lista completa de chaves deAWS grandes, consulte Chaves disponíveis no Guia do usuário do IAM.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciamento de identidade e acesso

Políticas gerenciadas pela AWS