Controle de acesso para o console da Família Snow e trabalhos de criação - AWS Snowball Edge Guia do desenvolvedor
Visão geral do gerenciamento de acessoAWS-Políticas gerenciadas (predefinidas) para Edge AWS Snowball

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controle de acesso para o console da Família Snow e trabalhos de criação

Como acontece com todos os AWS serviços, o acesso a AWS Snowball requer credenciais que AWS possam ser usadas para autenticar suas solicitações. Essas credenciais devem ter permissões para acessar AWS recursos, como um bucket do Amazon S3 ou AWS Lambda uma função. AWS Snowball difere de duas maneiras:

  1. Os trabalhos em AWS Snowball não têm nomes de recursos da Amazon (ARNs).

  2. Cabe a você o controle de acesso físico e à rede de um dispositivo on-premises.

Consulte Identity and Access Management para AWS Snow Family para obter detalhes sobre como você pode usar AWS Identity and Access Management (IAM) e AWS Snowball para ajudar a proteger seus recursos controlando quem pode acessá-los no Nuvem AWS, bem como recomendações locais de controle de acesso.

Visão geral do gerenciamento de permissões de acesso aos seus recursos no Nuvem AWS

Cada AWS recurso é de propriedade de um Conta da AWS, e as permissões para criar ou acessar um recurso são regidas por políticas de permissões. Um administrador de conta pode anexar políticas de permissões a IAM identidades (ou seja, usuários, grupos e funções), e alguns serviços (como AWS Lambda) também oferecem suporte à anexação de políticas de permissões a recursos.

nota

Um administrador da conta (ou usuário administrador) é um usuário com privilégios de administrador. Para obter mais informações, consulte as IAM melhores práticas no Guia IAM do usuário.

Recursos e operações

Em AWS Snowball, o recurso principal é um emprego. AWS Snowball também tem dispositivos como o Snowball e o AWS Snowball Edge dispositivo, no entanto, você só pode usar esses dispositivos no contexto de um trabalho existente. Os buckets do Amazon S3 e as funções do Lambda são recursos do Amazon S3 e do Lambda respectivamente.

Conforme mencionado anteriormente, os trabalhos não têm Amazon Resource Names (ARNs) associados a eles. No entanto, os recursos de outros serviços, como os buckets do Amazon S3, têm unique ARNs () associado a eles, conforme mostrado na tabela a seguir.

Tipo de recurso ARNFormato
Bucket do S3 arn:aws:s3:region:account-id:BucketName/ObjectName

AWS Snowball fornece um conjunto de operações para criar e gerenciar trabalhos. Para obter uma lista das operações disponíveis, consulte a AWS Snowball APIReferência.

Noções básicas sobre propriedade de recursos

Ele Conta da AWS possui os recursos que são criados na conta, independentemente de quem criou os recursos. Especificamente, o proprietário Conta da AWS do recurso é a entidade principal (ou seja, a conta raiz, um IAM usuário ou uma IAM função) que autentica a solicitação de criação do recurso. Os seguintes exemplos mostram como isso funciona:

  • Se você usar as credenciais da sua conta raiz Conta da AWS para criar um bucket do S3, você Conta da AWS é o proprietário do recurso (em AWS Snowball, o recurso é o trabalho).

  • Se você criar um IAM usuário em seu Conta da AWS e conceder permissões para criar um trabalho para solicitar um dispositivo Snow Family para esse usuário, o usuário poderá criar um trabalho para solicitar um dispositivo Snow Family. No entanto, seu Conta da AWS, ao qual o usuário pertence, é proprietário do recurso de trabalho.

  • Se você criar uma IAM função na sua Conta da AWS com permissões para criar um trabalho, qualquer pessoa que possa assumir a função poderá criar um trabalho para solicitar um dispositivo Snow Family. Seu Conta da AWS, ao qual a função pertence, é proprietário do recurso de trabalho.

Gerenciando o acesso aos recursos no Nuvem AWS

A política de permissões descreve quem tem acesso a quê. A seção a seguir explica as opções disponíveis para a criação das políticas de permissões.

nota

Esta seção discute o uso IAM no contexto de AWS Snowball. Ele não fornece informações detalhadas sobre o IAM serviço. Para obter a IAM documentação completa, consulte O que éIAM? no Guia do IAM usuário. Para obter informações sobre a IAM sintaxe e as descrições das AWS IAMpolíticas, consulte Referência de políticas no Guia do IAM usuário.

As políticas anexadas a uma IAM identidade são chamadas de políticas baseadas em identidade (IAMpolíticas) e as políticas anexadas a um recurso são chamadas de políticas baseadas em recursos. AWS Snowball suporta somente políticas baseadas em identidade (IAMpolíticas).

Políticas baseadas em recurso

Outros serviços, como o Amazon S3, também aceitam políticas de permissões baseadas em recurso. Por exemplo, você pode anexar uma política a um bucket do S3 para gerenciar as permissões de acesso a esse bucket. AWS Snowball não oferece suporte a políticas baseadas em recursos. 

Especificar elementos da política: ações, efeitos e entidades principais

Para cada trabalho (consulteRecursos e operações), o serviço define um conjunto de API operações (consulte AWS Snowball APIReferência) para criar e gerenciar esse trabalho. Para conceder permissões para essas API operações, AWS Snowball define um conjunto de ações que você pode especificar em uma política. Por exemplo, para um trabalho, são definidas as ações a seguir: CreateJob, CancelJob, e DescribeJob. Observe que a execução de uma API operação pode exigir permissões para mais de uma ação.

Estes são os elementos de política mais básicos:

  • Recurso — Em uma política, você usa um Amazon Resource Name (ARN) para identificar o recurso ao qual a política se aplica. Para obter mais informações, consulte Recursos e operações.

    nota

    Isso é compatível com Amazon S3, Amazon, EC2 AWS Lambda e muitos outros AWS KMS serviços.

    O Snowball não suporta a especificação de um recurso ARN no Resource elemento de uma IAM declaração de política. Para conceder acesso ao Snowball, especifique “Resource”: “*” na política.

  • Ação: você usa palavras-chave de ação para identificar operações de recursos que deseja permitir ou negar. Por exemplo, dependendo do Effect especificado, o snowball:* concede ou nega as permissões de usuário para realizar todas as operações.

    nota

    Isso é compatível com AmazonEC2, Amazon S3 e. IAM

  • Efeito: você especifica o efeito quando o usuário solicita a ação específica, que pode ser permitir ou negar. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar explicitamente o acesso a um recurso, para ter certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferente conceda acesso.

    nota

    Isso é compatível com AmazonEC2, Amazon S3 e. IAM

  • Principal — Em políticas baseadas em identidade (IAMpolíticas), o usuário ao qual a política está vinculada é o principal implícito. Para políticas baseadas em recursos, você especifica o usuário, a conta, o serviço ou outra entidade que deseja receber permissões (aplica-se somente às políticas baseadas em recursos). AWS Snowball não oferece suporte a políticas baseadas em recursos.

Para saber mais sobre a sintaxe e as descrições das IAM políticas, consulte a Referência AWS IAM de políticas no Guia do IAM usuário.

Para ver uma tabela mostrando todas as AWS Snowball API ações, consulteAWS Snowball APIPermissões: Referência de ações, recursos e condições.

Especificar condições em uma política

Ao conceder permissões, você pode usar a linguagem da IAM política para especificar as condições em que uma política deve entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre a especificação de condições em um idioma de política, consulte Condição no Guia do IAM Usuário.

Para expressar condições, você usa chaves de condição predefinidas. Não existem chaves de condição específicas do AWS Snowball. No entanto, existem chaves AWS de condição abrangentes que você pode usar conforme apropriado. Para obter uma lista completa AWS de chaves amplas, consulte Chaves disponíveis para condições no Guia do IAM usuário.

AWS-Políticas gerenciadas (predefinidas) para Edge AWS Snowball

AWS aborda muitos casos de uso comuns fornecendo IAM políticas autônomas que são criadas e administradas pela AWS. As políticas gerenciadas concedem permissões necessárias para casos de uso comuns, de maneira que você possa evitar a necessidade de investigar quais permissões são necessárias. Para obter mais informações, consulte Políticas AWS gerenciadas no Guia IAM do usuário.

Você pode usar as seguintes políticas AWS gerenciadas com AWS Snowball.

Criação de uma política de IAM funções para o Snowball Edge

Uma política de IAM função deve ser criada com permissões de leitura e gravação para seus buckets do Amazon S3. A IAM função também deve ter uma relação de confiança com Snowball. Ter uma relação de confiança significa que AWS você pode gravar os dados no Snowball e em seus buckets do Amazon S3, dependendo se você está importando ou exportando dados.

Quando você cria um trabalho para solicitar um dispositivo da família Snow no Console de Gerenciamento da família AWS Snow, a criação da IAM função necessária ocorre na etapa 4 na seção Permissão. Esse processo é automático. A IAM função que você permite que o Snowball assuma só é usada para gravar seus dados em seu bucket quando o Snowball com seus dados transferidos chega. AWS O procedimento a seguir descreve esse processo.

Para criar a IAM função para seu i

  1. Faça login no AWS Management Console e abra o AWS Snowball console em https://console.aws.amazon.com/importexport/.

  2. Escolha Criar trabalho.

  3. Na primeira etapa, preencha os detalhes do trabalho de importação no Amazon S3 e, em seguida, escolha Avançar.

  4. Na segunda etapa, em Permissão, escolha IAMCriar/selecionar função.

    O console IAM de gerenciamento é aberto, mostrando a IAM função AWS usada para copiar objetos em seus buckets Amazon S3 especificados.

  5. Revise os detalhes nessa página e, em seguida, selecione Permitir.

    Você retorna ao Console de Gerenciamento da família AWS Snow, onde a IAMfunção Selecionada ARN contém o Nome de recurso da Amazon (ARN) para a IAM função que você acabou de criar.

  6. Escolha Avançar para concluir a criação da sua IAM função.

O procedimento anterior cria uma IAM função que tem permissões de gravação para os buckets do Amazon S3 para os quais você planeja importar seus dados. A IAM função criada tem uma das estruturas a seguir, dependendo se é para uma tarefa de importação ou uma tarefa de exportação.

IAMFunção de um Import Job


          {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListBucketMultipartUploads"
      ],
      "Resource": "arn:aws:s3:::*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketPolicy",
        "s3:PutObject",
        "s3:AbortMultipartUpload",
        "s3:ListMultipartUploadParts",
        "s3:PutObjectAcl",
        "s3:ListBucket"
      ],
      "Resource": "arn:aws:s3:::*"
    }
  ]
}

Se você usar criptografia do lado do servidor com chaves AWS KMS gerenciadas (SSE-KMS) para criptografar os buckets do Amazon S3 associados ao seu trabalho de importação, você também precisará adicionar a seguinte declaração à sua função. IAM

{
     "Effect": "Allow",
     "Action": [
       "kms:GenerateDataKey"
     ],
     "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}

Se os tamanhos de objeto forem maiores, o cliente do Amazon S3 usado para o processo de importação usará carregamento fracionado. Se você iniciar um upload de várias partes usando SSE -KMS, todas as partes carregadas serão criptografadas usando a chave especificada AWS KMS . Como as partes são criptografadas, elas devem ser descriptografadas antes de serem montadas para concluir o carregamento fracionado. Portanto, você deve ter permissão para descriptografar a AWS KMS chave (kms:Decrypt) ao executar um upload de várias partes para o Amazon S3 com -. SSE KMS

Veja a seguir um exemplo de uma IAM função necessária para um trabalho de importação que precisa de kms:Decrypt permissão.

{
    "Effect": "Allow",
     "Action": [
       "kms:GenerateDataKey","kms:Decrypt"

     ],
     "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}

Veja a seguir um exemplo de uma IAM função necessária para um trabalho de exportação.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:GetBucketPolicy",
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": "arn:aws:s3:::*"
    }
  ]
}

Se você usa criptografia do lado do servidor com chaves AWS KMS gerenciadas para criptografar os buckets do Amazon S3 associados ao seu trabalho de exportação, você também precisa adicionar a seguinte declaração à sua função. IAM

{
     "Effect": "Allow",
     "Action": [
            “kms:Decrypt”
      ],
     "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}

Você pode criar suas próprias IAM políticas personalizadas para permitir permissões para API operações de gerenciamento de AWS Snowball tarefas. Você pode anexar essas políticas personalizadas aos IAM usuários ou grupos que exigem essas permissões.