As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Políticas gerenciadas pelo cliente do IAM para oAWS DataSync
Além das políticasAWS gerenciadas, você também pode criar suas próprias políticas baseadas em identidade para operações deAWS DataSync API e anexá-las às identidadesAWS Identity and Access Management (IAM) que exigem essas permissões. Elas são conhecidas como políticas gerenciadas pelo cliente, que são políticas autônomas que você administra na sua própriaConta da AWS.
Importante
Antes de começar, recomendamos que você saiba mais sobre os conceitos e opções básicos para gerenciar o acesso aos seusDataSync recursos. Para obter mais informações, consulte Gerenciamento de acesso paraAWS DataSync.
Overview of custom policies
O exemplo a seguir é uma política que concede permissões para usar determinadasDataSync operações.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsSpecifiedActionsOnAllTasks", "Effect": "Allow", "Action": [ "datasync:DescribeTask", "datasync:ListTasks" ], "Resource": "arn:aws:datasync:us-east-2:111222333444:task/*" }, }
A política tem uma declaração (observe osResource elementosAction e na declaração) que faz o seguinte:
-
Concede permissões para realizar duasDataSync ações (
datasync:DescribeTaskedatasync:ListTasks) em determinados recursos da tarefa usando um nome de recurso da Amazon (ARN). -
Especifica um caractere curinga (
*) no ARN da tarefa porque a função do IAM pode executar as duas ações em todas as tarefas. Para limitar as permissões das ações a uma tarefa específica, especifique o ID da tarefa em vez do caractere curinga nessa declaração.
Exemplos de políticas personalizadas
O exemplo de políticas de usuário concede permissões para váriasDataSync operações. As políticas funcionam se você estiver usando osAWS SDKs ouAWS Command Line Interface (AWS CLI). Para usar essas políticas no console, você também deve usar a política gerenciadaAWSDataSyncFullAccess.
Exemplo 1: Crie uma relação de confiança que permitaDataSync acessar seu bucket Amazon S3
O exemplo a seguir é de uma política de confiança que permite que o DataSync assuma uma função do IAM. Essa função permiteDataSync acessar um bucket do Amazon S3. Para evitar o problema confuso de delegados entre serviços, recomendamos o uso das aws:SourceArnchaves de contexto de condição aws:SourceAccountglobal na política.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "datasync.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "StringLike": { "aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*" } } } ] }
Exemplo 2:DataSync Permitir leitura e gravação em seu bucket Amazon S3
O exemplo de políticaDataSync a seguir concede as permissões mínimas para ler e gravar dados em seu bucket do S3.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetBucketLocation", "s3:ListBucket", "s3:ListBucketMultipartUploads" ], "Effect": "Allow", "Resource": "YourS3BucketArn" }, { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:GetObject", "s3:ListMultipartUploadParts", "s3:GetObjectTagging", "s3:PutObjectTagging", "s3:PutObject" ], "Effect": "Allow", "Resource": "YourS3BucketArn/*" } ] }
Exemplo 3: PermitirDataSync o upload de registros para grupos deCloudWatch registros
DataSyncrequer permissões para poder fazer upload de registros para seus grupos deCloudWatch registros da Amazon. Você pode usar grupos deCloudWatch registros para monitorar e depurar suas tarefas.
Para ver um exemplo de uma política do IAM que concede essas permissões, consulteDataSyncPermitindo o upload de registros para gruposCloudWatch de registros.
