AWS DataSync的 IAM 客户管理型策略 - AWS DataSync
客户管理型策略示例

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS DataSync的 IAM 客户管理型策略

除了 AWS 托管策略外,您还可以为需要这些权限的 (IAM) 身份创建自己的基于身份的策略, AWS DataSync 并将其附加到需要这些权限的 AWS Identity and Access Management (IAM) 身份。这些被称为客户管理型策略,是您在自己的 AWS 账户中管理的独立策略。

重要

在开始之前,我们建议您了解管理 DataSync 资源访问权限的基本概念和选项。有关更多信息,请参阅 的访问管理 AWS DataSync

在创建客户托管策略时,您需要包括有关可在某些 AWS 资源上使用的 DataSync 操作的声明。以下策略示例包含两个语句 (请注意每个语句中的 ActionResource 元素):

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowsSpecifiedActionsOnAllTasks",
            "Effect": "Allow",
            "Action": [
                "datasync:DescribeTask",
            ],
            "Resource": "arn:aws:datasync:us-east-2:111222333444:task/*"
        },  
        {
            "Sid": "ListAllTasks",
            "Effect": "Allow",
            "Action": [
                "datasync:ListTasks"
            ],
            "Resource": "*"
        },
}

此策略的语句执行以下操作:

  • 第一条语句通过使用通配符(*)指定 Amazon 资源名称 (ARN) 来授予对某些转移任务资源执行 datasync:DescribeTask 操作的权限。

  • 第二条语句通过仅指定一个通配符(*)来授予对所有任务执行 datasync:ListTasks 操作的权限。

客户管理型策略示例

以下示例客户托管策略授予各种 DataSync操作的权限。如果您使用的是 AWS Command Line Interface (AWS CLI) 或 AWS SDK,则这些策略将起作用。要在控制台中使用这些策略,还必须使用托管策略 AWSDataSyncFullAccess

示例 1:创建允许 DataSync 访问您的 Amazon S3 存储桶的信任关系

以下是允许担任 IAM 角色 DataSync 的信任策略示例。此角色 DataSync 允许访问 Amazon S3 存储桶。为防范跨服务混淆代理问题,我们建议在此策略中使用 aws:SourceArnaws:SourceAccount 全局条件上下文密钥。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "datasync.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*"
                }
            }
        }
    ]
}

示例 2:允许读 DataSync 取和写入您的 Amazon S3 存储桶

以下示例策略授予 DataSync 读取和向用作目标位置的 S3 存储桶写入数据的最低权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
        },
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:GetObjectTagging",
                "s3:GetObjectVersion",
                "s3:GetObjectVersionTagging",
                "s3:ListMultipartUploadParts",
                "s3:PutObject",
                "s3:PutObjectTagging"
              ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}

示例 3: DataSync 允许将日志上传到 CloudWatch 日志组

DataSync 需要权限才能将日志上传到您的 Amazon CloudWatch 日志组。您可以使用 CloudWatch 日志组来监控和调试您的任务。

有关授予这类权限的示例 IAM policy,请参阅 DataSync 允许将日志上传到 CloudWatch 日志组