APIReferência de gerenciamento de trabalhos - AWS Snowball

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

APIReferência de gerenciamento de trabalhos

O gerenciamento API de tarefas do AWS Snowball é um protocolo de rede baseado em HTTP (RFC2616). Para obter mais informações sobre issoRFC, consulte HTTP(RFC2616) no IETF site. Para cada chamada para o gerenciamento de tarefasAPI, você faz uma HTTP solicitação ao API endpoint de gerenciamento de tarefas específico da região Região da AWS onde deseja gerenciar tarefas. Eles API usam JSON (RFC4627) documentos para órgãos de HTTP solicitação/resposta.

nota

APIchamadas feitas nas regiões dos EUA para anunciar vagas ou descrever endereços retornam todas as vagas ou endereços dentro dos EUA dessa conta.

O gerenciamento de API tarefas do Snowball é um RPC modelo. Nesse modelo, há um conjunto fixo de operações, e os clientes conhecem a sintaxe de cada operação sem qualquer interação prévia. A seguir, você pode encontrar uma descrição de cada API operação usando uma RPC notação abstrata, com um nome de operação que não aparece no fio. Para cada operação, o tópico especifica o mapeamento para HTTP solicitar elementos.

A operação específica de gerenciamento de tarefas para a qual uma determinada solicitação é mapeada é determinada por uma combinação do método da solicitação (GETPUTPOST,, ouDELETE) e a qual dos vários padrões sua solicitação URI corresponde. Se a operação for PUT ouPOST, o Snowball extrairá os argumentos de chamada do segmento Request- URI path, dos parâmetros da consulta e do JSON objeto no corpo da solicitação.

Embora o nome da operação, comoCreateJob, não apareça na conexão, esses nomes de operação são significativos nas políticas AWS Identity and Access Management (IAM). O nome da operação também é usado para nomear comandos em ferramentas de linha de comando e elementos do. AWS SDK APIs Por exemplo, o comando AWS Command Line Interface (AWS CLI) create-job mapeia a CreateJob operação. O nome da operação também aparece nos CloudTrail registros das chamadas do SnowballAPI.

Para obter informações sobre como instalar e configurar o AWS CLI, incluindo a especificação de quais regiões você deseja fazer AWS CLI chamadas, consulte o Guia do AWS Command Line Interface usuário.

nota

O gerenciamento de trabalhos API fornece uma interface programática para a mesma funcionalidade disponível no AWS Snowball Management Console, ou seja, criar e gerenciar trabalhos para o Snowball. Para transferir dados localmente com um dispositivo Snowball, use o cliente Snowball Edge ou o adaptador S3 para Snowball. SDK Para obter mais informações, consulte Transferência de dados com um Snowball no Guia do usuário do AWS Snowball.

Se você usa um Snowball Edge, use o cliente Snowball Edge para desbloquear o equipamento. Para obter mais informações, consulte Usar o cliente do Snowball no AWS Guia do desenvolvedor do Snowball.

APIPonto final

O API endpoint é o nome Domain Name Service (DNS) usado como host nas HTTP URI API chamadas. Esses API endpoints são específicos da região e assumem o seguinte formato.

snowball.aws-region.amazonaws.com

Por exemplo, o API endpoint do Snowball para a região Oeste dos EUA (Oregon) é o seguinte.

snowball.us-west-2.amazonaws.com

Para obter uma lista do Regiões da AWS que o Snowball suporta (onde você pode criar e gerenciar trabalhos), consulte AWS Import/Exportno. Referência geral da AWS

O API endpoint específico da região define o escopo dos recursos do Snowball que podem ser acessados quando você faz uma chamada. API Por exemplo, ao chamar a operação ListJobs usando o endpoint mencionado anteriormente, você obtém uma lista de trabalhos na região Oeste dos EUA (Oregon) que foram criados em sua conta.

APIVersão

A versão do que API está sendo usada para uma chamada é identificada pelo primeiro segmento de caminho da solicitação URI e seu formato é uma data ISO 8601. A documentação descreve a API versão 2016-06-30.

APIReferência da política de permissão

As políticas a seguir são necessárias para criar empregos com o gerenciamento de API tarefas do Snowball.

Política de confiança de função para criar trabalhos

Usar o gerenciamento de tarefas API para criar empregos requer a seguinte política de confiança.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "importexport.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "AWSIE" } } } ] }
nota

Para saber mais sobre políticas de confiança, consulte Modificar uma função no Guia do IAM usuário.

Política de função para criação de trabalhos de importação

A criação de um trabalho de importação exige a política de função a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucketMultipartUploads" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "s3:GetBucketPolicy", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] } ] }

Política de função para criação de trabalhos de exportação

A criação de um trabalho de exportação exige a política de função a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] } ] }

Entidade principal da política de bucket do Amazon S3 para criação de trabalhos

Em alguns casos, os buckets do Amazon S3 que você usa com o Snowball têm políticas de bucket implementadas que exigem listar o nome da sessão da função assumida. Nesses casos, é necessário especificar uma entidade principal nessas políticas que identifique o AWSImportExport-Validation. O exemplo de política de bucket do Amazon S3 a seguir demonstra como fazer isso.

{ "Version": "2012-10-17", "Statement": { "Sid": "Allow AWS Snowball To Create Jobs", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::111122223333:role/rolename", "arn:aws:sts::111122223333:assumed-role/rolename/AWSImportExport-Validation", "arn:aws:iam::111122223333:root" ] }, "Action": "S3:*", "Resource": ["arn:aws:s3:::examplebucket/*"] } }

Neste exemplo de política, negamos acesso a todas as entidades principais, exceto aquela indicada no elemento NotPrincipal. Para obter mais informações sobre como usarNotPrincipal, consulte NotPrincipalo Guia IAM do usuário.

nota

Para trabalhos em AWS GovCloud (US), o Snowball usa AWSIEJob como função o nome da sessão da função assumida.

Criando uma IAM função para Snowball e Snowball Edge

Uma política de IAM função deve ser criada com permissões de leitura e gravação para seus buckets do Amazon S3. A IAM função também deve ter uma relação de confiança com Snowball. Ter uma relação de confiança significa que AWS você pode gravar os dados no Snowball e em seus buckets do Amazon S3, dependendo se você está importando ou exportando dados.

Quando você cria um trabalho no Console de Gerenciamento da família AWS Snow, a criação da IAM função necessária ocorre na etapa 4 na seção Permissão. Esse processo é automático. A IAM função que você permite que o Snowball assuma só é usada para gravar seus dados em seu bucket quando o Snowball com seus dados transferidos chega. AWS O procedimento a seguir descreve esse processo.

Para criar a IAM função para seu trabalho de importação
  1. Faça login no AWS Management Console e abra o AWS Snowball console em https://console.aws.amazon.com/importexport/.

  2. Escolha Criar trabalho.

  3. Na primeira etapa, preencha os detalhes do trabalho de importação no Amazon S3 e, em seguida, escolha Avançar.

  4. Na segunda etapa, em Permissão, escolha IAMCriar/selecionar função.

    O console IAM de gerenciamento é aberto, mostrando a IAM função AWS usada para copiar objetos em seus buckets Amazon S3 especificados.

  5. Revise os detalhes nessa página e, em seguida, selecione Permitir.

    Você retorna ao Console de Gerenciamento da família AWS Snow, onde a IAMfunção Selecionada ARN contém o Amazon Resource Name (ARN) da IAM função que você acabou de criar.

  6. Escolha Avançar para concluir a criação da sua IAM função.

O procedimento anterior cria uma IAM função que tem permissões de gravação para os buckets do Amazon S3 para os quais você planeja importar seus dados. A IAM função criada tem uma das estruturas a seguir, dependendo se é para uma tarefa de importação ou uma tarefa de exportação.

IAMFunção de um Import Job

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucketMultipartUploads" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "s3:GetBucketPolicy", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::*" } ] }

Se você usar criptografia do lado do servidor com chaves AWS KMS gerenciadas (SSE-KMS) para criptografar os buckets do Amazon S3 associados ao seu trabalho de importação, você também precisará adicionar a seguinte declaração à sua função. IAM

{ "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "arn:aws:s3:::SSEKMSEncryptedBucketName" }

IAMFunção de um Export Job

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetBucketPolicy", "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::*" } ] }

Se você usa criptografia do lado do servidor com chaves AWS KMS gerenciadas para criptografar os buckets do Amazon S3 associados ao seu trabalho de exportação, você também precisa adicionar a seguinte declaração à sua função. IAM

{ "Effect": "Allow", "Action": [ “kms:Decrypt” ], "Resource": "arn:aws:s3:::SSEKMSEncryptedBucketName" }