AWS Snowball Edge não está mais disponível para novos clientes. Novos clientes devem explorar AWS DataSync
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usando o IAM localmente em um Snowball Edge
AWS Identity and Access Management(IAM) ajuda você a controlar com segurança o acesso aos AWS recursos que são executados em seu AWS Snowball Edge dispositivo. Com o IAM, você controla quem pode se autenticar (fazer login) e quem tem autorização (permissões) para acessar os recursos.
O IAM é aceito localmente no dispositivo. É possível usar o serviço local do IAM para criar usuários e anexar políticas do IAM a eles. É possível usar essas políticas para permitir o acesso necessário para realizar as tarefas atribuídas. Por exemplo, você pode dar a um usuário a capacidade de transferir dados, mas limitar sua capacidade de criar novas EC2-compatible instâncias da Amazon.
Além disso, você pode criar credenciais locais baseadas em sessão usando AWS Security Token Service(AWS STS) no seu dispositivo. Para obter informações sobre o serviço do IAM, consulte Conceitos básicos no Guia do usuário do IAM.
As credenciais raiz do seu dispositivo não podem ser desativadas e você não pode usar políticas em sua conta para negar explicitamente o acesso ao usuário Conta da AWS raiz. Recomendamos proteger as chaves de acesso do usuário raiz e criar credenciais de usuário do IAM para a interação diária com o dispositivo.
Importante
A documentação nesta seção se aplica ao uso local do IAM em um AWS Snowball Edge dispositivo. Para obter informações sobre como usar o IAM no Nuvem AWS, consulteIdentity and Access Management em AWS Snowball Edge.
Para que AWS os serviços funcionem corretamente em um Snowball Edge, você deve permitir as portas para os serviços. Para obter detalhes, consulte Requisitos de porta para AWS serviços em um Snowball Edge.
Tópicos
Usar o AWS CLI e operações de API em um Snowball Edge
Ao usar as operações AWS CLI ou de API para emitir comandos IAM AWS STS, Amazon S3 e Amazon EC2 no Snowball Edge, você deve especificar o como "”. region snow Você pode fazer isso usando aws configure ou dentro do próprio comando, como nos exemplos a seguir.
aws configure --profile abc AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE AWS Secret Access Key [None]: 1234567 Default region name [None]: snow Default output format [None]: json
Ou
aws iam list-users --endpoint http://192.0.2.0:6078 --region snow --profile snowballEdge
nota
O ID da chave de acesso e a chave secreta de acesso que são usados localmente em não AWS Snowball Edge podem ser trocados com as chaves no Nuvem AWS.
Lista de IAM compatíveis AWS CLI Comandos em um Snowball Edge
Veja a seguir uma descrição do subconjunto de AWS CLI comandos e opções do IAM que são compatíveis com dispositivos Snowball Edge. Se um comando ou opção não estiver listado abaixo, não é compatível. Os parâmetros não compatíveis com comandos são anotados na descrição.
-
attach-role-policy: anexa a política gerenciada especificada ao perfil determinado do IAM.
-
attach-user-policy: anexa a política gerenciada especificada ao usuário determinado.
-
create-access-key: cria uma chave de acesso secreta local do IAM e o ID de chave de acesso da AWS correspondente para o usuário especificado.
-
create-policy: cria uma política gerenciada do IAM para o dispositivo.
-
create-role: cria um perfil local do IAM para o dispositivo. Os seguintes parâmetros não são compatíveis:
-
Tags -
PermissionsBoundary
-
-
create-user: cria um usuário local do IAM para o dispositivo. Os seguintes parâmetros não são compatíveis:
-
Tags -
PermissionsBoundary
-
-
delete-access-key — Exclui uma nova chave de acesso secreta local do IAM e o ID da chave de AWS acesso correspondente para o usuário especificado.
-
delete-policy: exclui a política gerenciada especificada.
-
delete-role: exclui o perfil especificado.
-
delete-user: exclui o usuário especificado.
-
detach-role-policy: remove a política gerenciada especificada d perfil determinado.
-
detach-user-policy: remove a política gerenciada especificada do usuário determinado.
-
get-policy: recupera informações sobre a política gerenciada especificada, incluindo a versão padrão da política e o número total de usuários, grupos e perfis locais do IAM aos quais a política está anexada.
-
get-policy-version: recupera informações sobre a versão especificada da política gerenciada determinada, incluindo o documento da política.
-
get-role recupera informações sobre o perfil especificado incluindo o caminho, o GUID, o ARN e a política de confiança do perfil que concede permissão para assumi-lo.
-
get-user: recupera informações sobre o usuário do IAM especificado, incluindo a data de criação do usuário, o caminho, o ID exclusivo e o ARN.
-
list-access-keys: exibe informações sobre os IDs de chave de acesso associados ao usuário do IAM especificado.
-
list-attached-role-policies: lista todas as políticas gerenciadas que estão anexadas ao perfil do IAM especificado.
-
list-attached-user-policies: lista todas as políticas gerenciadas que estão anexadas ao usuário do IAM especificado.
-
list-entities-for-policy: lista todos os usuários, grupos e perfis locais do IAM aos quais a política gerenciada especificada está anexada.
-
--EntityFilter: somente os valoresusererolesão compatíveis.
-
-
list-policies: lista todas as políticas gerenciadas que estão disponíveis na Conta da AWS local. O seguinte parâmetro não é compatível:
-
--PolicyUsageFilter
-
-
list-roles: lista os perfis locais do IAM que têm o prefixo do caminho especificado.
-
list-users: lista os usuários do IAM que têm o prefixo do caminho especificado.
-
update-access-key: altera o status da chave de acesso especificada de Ativo para Inativo ou vice-versa.
-
update-assume-role-policy: atualiza a política que concede a uma entidade do IAM permissão para assumir um perfil.
-
update-role: atualiza a descrição ou a configuração da duração máxima da sessão de um perfil.
-
update-user — Atualiza o nome e and/or o caminho do usuário IAM especificado.
Operações de API IAM suportadas no Snowball Edge
Veja a seguir as operações da API do IAM que podem ser usadas com um Snowball Edge, com links para as descrições na Referência da API do IAM.
-
AttachRolePolicy— Anexa a política gerenciada especificada à função do IAM especificada.
-
AttachUserPolicy— Anexa a política gerenciada especificada ao usuário especificado.
-
CreateAccessKey— Cria uma nova chave de acesso secreta local do IAM e o ID da chave de AWS acesso correspondente para o usuário especificado.
-
CreatePolicy— Cria uma nova política gerenciada do IAM para seu dispositivo.
-
CreateRole— Cria uma nova função local do IAM para seu dispositivo.
-
CreateUser— Cria um novo usuário local do IAM para seu dispositivo.
Os seguintes parâmetros não são compatíveis:
-
Tags -
PermissionsBoundary
-
-
DeleteAccessKey— Exclui a chave de acesso especificada.
-
DeletePolicy— Exclui a política gerenciada especificada.
-
DeleteRole— Exclui a função especificada.
-
DeleteUser— Exclui o usuário especificado.
-
DetachRolePolicy— Remove a política gerenciada especificada da função especificada.
-
DetachUserPolicy— Remove a política gerenciada especificada do usuário especificado.
-
GetPolicy— Recupera informações sobre a política gerenciada especificada, incluindo a versão padrão da política e o número total de usuários, grupos e funções locais do IAM aos quais a política está vinculada.
-
GetPolicyVersion— recupera informações sobre a versão especificada da política gerenciada especificada, incluindo o documento da política.
-
GetRole— recupera informações sobre a função especificada, incluindo o caminho da função, o GUID, o ARN e a política de confiança da função que concede permissão para assumir a função.
-
GetUser— Recupera informações sobre o usuário do IAM especificado, incluindo a data de criação, o caminho, o ID exclusivo e o ARN do usuário.
-
ListAccessKeys— Retorna informações sobre os IDs da chave de acesso associados ao usuário IAM especificado.
-
ListAttachedRolePolicies— Lista todas as políticas gerenciadas que estão anexadas à função do IAM especificada.
-
ListAttachedUserPolicies— Lista todas as políticas gerenciadas que estão anexadas ao usuário do IAM especificado.
-
ListEntitiesForPolicy— Recupera informações sobre o usuário do IAM especificado, incluindo a data de criação, o caminho, o ID exclusivo e o ARN do usuário.
-
--EntityFilter: somente os valoresusererolesão compatíveis.
-
-
ListPolicies— Lista todas as políticas gerenciadas que estão disponíveis em seu local Conta da AWS. O seguinte parâmetro não é compatível:
-
--PolicyUsageFilter
-
-
ListRoles— Lista as funções locais do IAM que têm o prefixo de caminho especificado.
-
ListUsers— Lista os usuários do IAM que têm o prefixo de caminho especificado.
-
UpdateAccessKey— Altera o status da chave de acesso especificada de Ativa para Inativa ou vice-versa.
-
UpdateAssumeRolePolicy— Atualiza a política que concede permissão a uma entidade do IAM para assumir uma função.
-
UpdateRole— Atualiza a descrição ou a configuração de duração máxima da sessão de uma função.
-
UpdateUser— Atualiza and/or o nome do caminho do usuário IAM especificado.
Versão e gramática da política do IAM suportadas no Snowball Edge
Veja a seguir a versão de suporte 2012-10-17 do IAM da política do IAM e um subconjunto da gramática da política.
| Tipo de política | Gramática compatível |
|---|---|
| Identity-based políticas (user/role política) | “Effect, "Action" e "Resource" notaO IAM local não oferece suporte para " |
| Resource-based políticas (política de confiança de funções) | “Effect, "Action" e "Principal" notaPara o diretor, somente Conta da AWS ID ou ID principal é permitido. |
Exemplos de políticas do IAM no Snowball Edge
nota
AWS Identity and Access Management Os usuários (IAM) precisam de "snowballdevice:*" permissões para usar o AWS OpsHub for Snow Family aplicativo para gerenciar o Snowball Edge.
Veja a seguir exemplos de politicas que concedem permissões para um dispositivo Snowball Edge.
Permitir a GetUser chamada para um usuário de amostra em um Snowball Edge por meio da API IAM
Use a política a seguir para permitir a GetUser chamada para um usuário de amostra por meio da API IAM.
Permitindo acesso total à API do Amazon S3 em um Snowball Edge
Use a política a seguir para permitir o acesso total à API do Amazon S3.
Permitindo acesso de leitura e gravação a um bucket do Amazon S3 em um Snowball Edge
Use a política a seguir para permitir o acesso de leitura e gravação a um bucket específico.
Permitindo listar, obter e colocar acesso a um bucket do Amazon S3 em um Snowball Edge
Use a política a seguir para permitir o acesso List, Get e Put a um bucket específico do S3.
Permitindo acesso total à API do Amazon EC2 em um Snowball Edge
Use a política a seguir para permitir o acesso total ao Amazon EC2.
Permitindo acesso para iniciar e interromper EC2-compatible instâncias da Amazon em um Snowball Edge
Use a política a seguir para permitir o acesso para iniciar e interromper as instâncias do Amazon EC2.
Negando chamadas para, DescribeLaunchTemplates mas permitindo que todas as chamadas sejam enviadas para um DescribeImages Snowball Edge
Use a seguinte política para negar chamadas para DescribeLaunchTemplates, mas permitir todas as chamadas para DescribeImages.
Política para chamadas de API em um Snowball Edge
Lista todas as políticas gerenciadas que estão disponíveis no dispositivo Snow, incluindo suas próprias políticas gerenciadas definidas pelo cliente. Mais detalhes em list-policies.
aws iam list-policies --endpoint http://ip-address:6078 --region snow --profile snowballEdge { "Policies": [ { "PolicyName": "Administrator", "Description": "Root user admin policy for Account 123456789012", "CreateDate": "2020-03-04T17:44:59.412Z", "AttachmentCount": 1, "IsAttachable": true, "PolicyId": "policy-id", "DefaultVersionId": "v1", "Path": "/", "Arn": "arn:aws:iam::123456789012:policy/Administrator", "UpdateDate": "2020-03-04T19:10:45.620Z" } ] }
TrustPolicy exemplo em um Snowball Edge
Uma política de confiança retorna um conjunto de credenciais de segurança temporárias que você pode usar para acessar AWS recursos aos quais você normalmente não teria acesso. Essas credenciais de segurança temporárias consistem em um ID de chave de acesso, uma chave de acesso secreta e um token de segurança. Normalmente, você usa AssumeRole na conta para acesso entre contas.
Veja a seguir um exemplo de política de confiança. Para obter mais informações sobre a política de confiança, consulte AssumeRolea Referência AWS Security Token Service da API.