IAM 客户托管式策略AWS DataSync - AWS DataSync
自定义策略概览自定义策略的示例

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

IAM 客户托管式策略AWS DataSync

除托AWS管策略外,您还可以为AWS DataSync API 操作创建自己的基于身份的策略,并将其附加到需要这些权限的AWS Identity and Access Management (IAM) 身份。这些策略称为客户托管型策略,是您在自己的中管理的独立策略AWS 账户。

重要

在开始之前,我们建议您首先了解管理DataSync资源访问权限的基本概念和选项。有关更多信息,请参阅的访问管理AWS DataSync

自定义策略概览

以下示例是授予使用某些DataSync操作的权限的策略。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowsSpecifiedActionsOnAllTasks",
            "Effect": "Allow",
            "Action": [
                "datasync:DescribeTask",
                "datasync:ListTasks"
            ],
            "Resource": "arn:aws:datasync:us-east-2:111222333444:task/*"
        },    
}

该策略有一条语句(请注意语句中的ActionResource元素),它执行以下操作:

  • 使用亚马逊资源名称 (ARNdatasync:ListTasks) 授予对某些任务资源执行两项DataSync操作(datasync:DescribeTask和)的权限。

  • 在任务 ARN 中指定通配符 (*),因为允许 IAM 角色对所有任务执行这两个操作。要将操作权限限制为特定任务,请在该语句中指定任务 ID 而不是通配符。

自定义策略的示例

以下示例用户策略授予执行各种DataSync操作的权限。如果您使用的是AWS SDK 或AWS Command Line Interface (AWS CLI),这些策略就会起作用。要在控制台中使用这些策略,还必须使用托管策略AWSDataSyncFullAccess

示例 1:创建允许DataSync访问您的 Amazon S3 存储桶的信任关系

下面是一个允许 DataSync 担任 IAM 角色的示例信任策略。此角色DataSync允许访问 Amazon S3 存储桶。为防止出现跨服务混淆的副手问题,我们建议在策略中使用aws:SourceArnaws:SourceAccount全局条件上下文密钥。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "datasync.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*"
                }
            }
        }
    ]
}

示例 2:DataSync允许读取和写入您的 Amazon S3 存储桶

以下示例策略授予DataSync对 S3 存储桶读取和写入数据的最低权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads"
            ],
            "Effect": "Allow",
            "Resource": "YourS3BucketArn"
        },
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:ListMultipartUploadParts",
                "s3:GetObjectTagging",
                "s3:PutObjectTagging",
                "s3:PutObject"
              ],
            "Effect": "Allow",
            "Resource": "YourS3BucketArn/*"
        }
    ]
}

示例 3:DataSync允许将日志上传到CloudWatch日志组

DataSync需要权限才能将日志上传到您的亚马逊CloudWatch日志组。您可以使用CloudWatch日志组来监视和调试您的任务。

有关授予此类权限的 IAM 策略的示例,请参阅允许DataSync将日志上传到CloudWatch日志组