适用于 Amazon FSx 的 AWS 托管式策略
AWS 托管式策略是由 AWS 创建和管理的独立策略。AWS 托管式策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住,AWS 托管式策略可能不会为您的特定使用场景授予最低权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的客户托管式策略来进一步减少权限。
您无法更改 AWS 托管式策略中定义的权限。如果 AWS 更新在 AWS 托管式策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 AWS 服务 启动或新的 API 操作可用于现有服务时,AWS 最有可能更新 AWS 托管式策略。
有关更多信息,请参阅《IAM 用户指南》中的 AWS 托管式策略。
AmazonFSxServiceRolePolicy
允许 Amazon FSx 代表您管理 AWS 资源。请参阅使用 Amazon FSx 的服务相关角色,了解更多信息。
AWS 托管式策略:AmazonFSxDeleteServiceLinkedRoleAccess
您不能将 AmazonFSxDeleteServiceLinkedRoleAccess 附加到自己的 IAM 实体。该策略关联到服务,仅用于该服务的服务相关角色。您不能附加、分离、修改或删除此策略。有关更多信息,请参阅 使用 Amazon FSx 的服务相关角色。
该策略授予管理权限,允许 Amazon FSx 删除用于访问 Amazon S3 的服务相关角色,仅供 Amazon FSx for Lustre 使用。
权限详细信息
此策略包括 iam 中的以下权限:允许 Amazon FSx 对用于访问 Amazon S3 的 FSx 服务相关角色进行查看、删除及查看其删除状态。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 AmazonFSxDeleteServiceLinkedRoleAccess。
AWS 托管式策略:AmazonFSxFullAccess
您可以将 AmazonFSxFullAccess 附加到 IAM 实体。Amazon FSx 还会将此策略附加到服务角色,以允许 Amazon FSx 代表您执行操作。
提供对 Amazon FSx 的完全访问权限和对相关 AWS 服务的访问权限。
权限详细信息
该策略包含以下权限。
-
fsx– 允许主体完全访问,可执行所有 Amazon FSx 操作,但BypassSnaplockEnterpriseRetention除外。 -
ds– 允许主体查看有关 AWS Directory Service 目录的信息。 ec2允许主体在指定的条件下创建标签。
为可以与 VPC 配合使用的所有安全组提供增强的安全组验证。
iam– 允许主体代表用户创建 Amazon FSx 服务相关角色。必须具有此权限,Amazon FSx 才能代表用户管理 AWS 资源。-
logs– 允许主体创建日志组、日志流并将事件写入日志流。必须具有此权限,用户才能将审计访问日志发送到 CloudWatch Logs,进而监控 FSx for Windows File Server 文件系统的访问情况。 firehose– 允许主体将记录写入 Amazon Data Firehose。必须具有此权限,用户才能将审计访问日志发送到 Firehose,进而监控 FSx for Windows File Server 文件系统的访问情况。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 AmazonFSxFullAccess。
AWS 托管式策略:AmazonFSxConsoleFullAccess
您可以将 AmazonFSxConsoleFullAccess 策略附加到 IAM 身份。
此策略授予管理权限,允许完全访问 Amazon FSx 和通过 AWS Management Console 访问相关 AWS 服务。
权限详细信息
该策略包含以下权限。
-
fsx– 允许主体在 Amazon FSx 管理控制台中执行所有操作,但BypassSnaplockEnterpriseRetention除外。 -
cloudwatch– 允许主体在 Amazon FSx 管理控制台中查看 CloudWatch 警报和指标。 -
ds– 允许主体列出有关 AWS Directory Service 目录的信息。 ec2允许主体在路由表上创建标签,列出网络接口、路由表、安全组、子网和与 Amazon FSx 文件系统关联的 VPC。
允许主体为可以与 VPC 配合使用的所有安全组提供增强的安全组验证。
-
kms– 允许主体列出 AWS Key Management Service 密钥的别名。 -
s3– 允许主体列出 Amazon S3 桶中的部分或全部对象(最多 1000 个)。 -
iam– 授予创建服务相关角色的权限,允许 Amazon FSx 代表用户执行操作。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 AmazonFSxConsoleFullAccess。
AWS 托管式策略:AmazonFSxConsoleReadOnlyAccess
您可以将 AmazonFSxConsoleReadOnlyAccess 策略附加到 IAM 身份。
此策略授予对 Amazon FSx 及相关 AWS 服务的只读权限,以便用户可以在 AWS Management Console 中查看有关这些服务的信息。
权限详细信息
该策略包含以下权限。
-
fsx– 允许主体在 Amazon FSx 管理控制台中查看有关 Amazon FSx 文件系统的信息,包括所有标签。 -
cloudwatch– 允许主体在 Amazon FSx 管理控制台中查看 CloudWatch 警报和指标。 -
ds– 允许主体在 Amazon FSx 管理控制台中查看有关 AWS Directory Service 目录的信息。 ec2允许主体在 Amazon FSx 管理控制台中查看网络接口、安全组、子网以及与 Amazon FSx 文件系统关联的 VPC。
为可以与 VPC 配合使用的所有安全组提供增强的安全组验证。
-
kms– 允许主体在 Amazon FSx 管理控制台中查看 AWS Key Management Service 密钥的别名。 -
log– 允许主体描述与发出请求的账户关联的 Amazon CloudWatch Logs 日志组。必须具有此权限,主体才能查看 FSx for Windows File Server 文件系统的现有文件访问审计配置。 -
firehose– 允许主体描述与发出请求的账户关联的 Amazon Data Firehose 传输流。必须具有此权限,主体才能查看 FSx for Windows File Server 文件系统的现有文件访问审计配置。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 AmazonFSxConsoleReadOnlyAccess。
AWS 托管式策略:AmazonFSxReadOnlyAccess
您可以将 AmazonFSxReadOnlyAccess 策略附加到 IAM 身份。
该策略包含以下权限。
-
fsx– 允许主体在 Amazon FSx 管理控制台中查看有关 Amazon FSx 文件系统的信息,包括所有标签。 ec2- 为可以与 VPC 配合使用的所有安全组提供增强的安全组验证。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 AmazonFSxReadOnlyAccess。
Amazon FSx 更新了 AWS 托管式策略
查看有关 Amazon FSx 的 AWS 托管策略更新的详细信息(从该服务开始跟踪这些更改开始)。要获得有关此页面更改的自动提示,请订阅 Amazon FSx 文档历史记录 页面上的 RSS 源。
| 更改 | 描述 | 日期 |
|---|---|---|
AmazonFSxServiceRolePolicy – 对现有策略的更新 |
Amazon FSx 添加了新的权限 |
2024 年 1 月 9 日 |
AmazonfsxReadOnlyAccess — 更新现有策略 |
Amazon FSx 添加了新的权限 |
2024 年 1 月 9 日 |
AmazonFSxConsoleReadOnlyAccess – 对现有策略的更新 |
Amazon FSx 添加了新的权限 |
2024 年 1 月 9 日 |
AmazonFSxFullAccess – 对现有策略的更新 |
Amazon FSx 添加了新的权限 |
2024 年 1 月 9 日 |
AmazonFSxConsoleFullAccess – 对现有策略的更新 |
Amazon FSx 添加了新的权限 |
2024 年 1 月 9 日 |
AmazonFSxFullAccess – 对现有策略的更新 |
Amazon FSx 添加了新的权限,可以使用户为 FSx for OpenZFS 文件系统执行跨区域和跨账户的数据复制。 |
2023 年 12 月 20 日 |
AmazonFSxConsoleFullAccess – 对现有策略的更新 |
Amazon FSx 添加了新的权限,可以使用户为 FSx for OpenZFS 文件系统执行跨区域和跨账户的数据复制。 |
2023 年 12 月 20 日 |
AmazonFSxFullAccess – 对现有策略的更新 |
Amazon FSx 添加了新的权限,可以使用户按需复制适用于FSx for OpenZFS 文件系统的卷。 |
2023 年 11 月 26 日 |
AmazonFSxConsoleFullAccess – 对现有策略的更新 |
Amazon FSx 添加了新的权限,可以使用户按需复制适用于FSx for OpenZFS 文件系统的卷。 |
2023 年 11 月 26 日 |
AmazonFSxFullAccess – 对现有策略的更新 |
Amazon FSx 添加了新的权限,可以使用户查看、启用和禁用对 FSx for ONTAP 多可用区文件系统的共享 VPC 支持。 |
2023 年 11 月 14 日 |
AmazonFSxConsoleFullAccess – 对现有策略的更新 |
Amazon FSx 添加了新的权限,可以使用户查看、启用和禁用对 FSx for ONTAP 多可用区文件系统的共享 VPC 支持。 |
2023 年 11 月 14 日 |
AmazonFSxFullAccess – 对现有策略的更新 |
Amazon FSx 添加了新的权限,允许 Amazon FSx 管理 FSx for OpenZFS 多可用区文件系统的网络配置。 |
2023 年 8 月 9 日 |
AWS 托管式策略:AmazonFSxServiceRolePolicy – 对现有策略的更新 |
Amazon FSx 修改了现有的 |
2023 年 7 月 24 日 |
AmazonFSxFullAccess – 对现有策略的更新 |
Amazon FSx 更新了该策略,删除了 |
2023 年 7 月 13 日 |
AmazonFSxConsoleFullAccess – 对现有策略的更新 |
Amazon FSx 更新了该策略,删除了 |
2023 年 7 月 13 日 |
AmazonFSxConsoleReadOnlyAccess – 对现有策略的更新 |
Amazon FSx 添加了新的权限,用户能够在 Amazon FSx 控制台中查看 FSx for Windows File Server 文件系统的增强性能指标和建议的操作。 |
2022 年 9 月 21 日 |
AmazonFSxConsoleFullAccess – 对现有策略的更新 |
Amazon FSx 添加了新的权限,用户能够在 Amazon FSx 控制台中查看 FSx for Windows File Server 文件系统的增强性能指标和建议的操作。 |
2022 年 9 月 21 日 |
AmazonFSxReadOnlyAccess – 开始跟踪策略 |
此策略授予对所有 Amazon FSx 资源及其相关标签的只读访问权限。 |
2022 年 2 月 4 日 |
此策略授予管理权限,允许 Amazon FSx 删除用于访问 Amazon S3 的服务相关角色。 |
2022 年 1 月 7 日 | |
AmazonFSxServiceRolePolicy – 对现有策略的更新 |
Amazon FSx 添加了新的权限,允许 Amazon FSx 管理 Amazon FSx for NetApp ONTAP 文件系统的网络配置。 |
2021 年 9 月 2 日 |
AmazonFSxFullAccess – 对现有策略的更新 |
Amazon FSx 添加了新的权限,允许 Amazon FSx 在 EC2 路由表上创建标签,从而缩小了调用范围。 |
2021 年 9 月 2 日 |
AmazonFSxConsoleFullAccess – 对现有策略的更新 |
Amazon FSx 添加了新的权限,允许 Amazon FSx 创建 Amazon FSx for NetApp ONTAP Multi-AZ 文件系统。 |
2021 年 9 月 2 日 |
AmazonFSxConsoleFullAccess – 对现有策略的更新 |
Amazon FSx 添加了新的权限,允许 Amazon FSx 在 EC2 路由表上创建标签,从而缩小了调用范围。 |
2021 年 9 月 2 日 |
|
AmazonFSxServiceRolePolicy – 对现有策略的更新 |
Amazon FSx 添加了新的权限,允许 Amazon FSx 描述和写入 CloudWatch Logs 日志流。 必须具有此权限,用户才能使用 CloudWatch Logs 查看 FSx for Windows File Server 文件系统的文件访问审计日志。 |
2021 年 6 月 8 日 |
|
AmazonFSxServiceRolePolicy – 对现有策略的更新 |
Amazon FSx 添加了新的权限,允许 Amazon FSx 描述和写入 Amazon Data Firehose 传输流。 必须具有此权限,用户才能使用 Amazon Data Firehose 查看 FSx for Windows File Server 文件系统的文件访问审计日志。 |
2021 年 6 月 8 日 |
|
AmazonFSxFullAccess – 对现有策略的更新 |
Amazon FSx 添加了新的权限,允许主体描述和创建 CloudWatch Logs 日志组、日志流以及将事件写入日志流。 必须具有此权限,主体才能使用 CloudWatch Logs 查看 FSx for Windows File Server 文件系统的文件访问审计日志。 |
2021 年 6 月 8 日 |
|
AmazonFSxFullAccess – 对现有策略的更新 |
Amazon FSx 添加了新的权限,允许主体描述并将记录写入 Amazon Data Firehose。 必须具有此权限,用户才能使用 Amazon Data Firehose 查看 FSx for Windows File Server 文件系统的文件访问审计日志。 |
2021 年 6 月 8 日 |
|
AmazonFSxConsoleFullAccess – 对现有策略的更新 |
Amazon FSx 添加了新的权限,允许主体描述与发出请求的账户关联的 Amazon CloudWatch Logs 日志组。 必须具有此权限,主体才能在为 FSx for Windows File Server 文件系统配置文件访问审计时选择现有的 CloudWatch Logs 日志组。 |
2021 年 6 月 8 日 |
|
AmazonFSxConsoleFullAccess – 对现有策略的更新 |
Amazon FSx 添加了新的权限,允许主体描述与发出请求的账户关联的 Amazon Data Firehose 传输流。 必须具有此权限,主体才能在为 FSx for Windows File Server 文件系统配置文件访问审计时选择现有的 Firehose 传输流。 |
2021 年 6 月 8 日 |
|
AmazonFSxConsoleReadOnlyAccess – 对现有策略的更新 |
Amazon FSx 添加了新的权限,允许主体描述与发出请求的账户关联的 Amazon CloudWatch Logs 日志组。 必须具有此权限,主体才能查看 FSx for Windows File Server 文件系统的现有文件访问审计配置。 |
2021 年 6 月 8 日 |
|
AmazonFSxConsoleReadOnlyAccess – 对现有策略的更新 |
Amazon FSx 添加了新的权限,允许主体描述与发出请求的账户关联的 Amazon Data Firehose 传输流。 必须具有此权限,主体才能查看 FSx for Windows File Server 文件系统的现有文件访问审计配置。 |
2021 年 6 月 8 日 |
|
Amazon FSx 开启了跟踪更改 |
Amazon FSx 为其 AWS 托管式策略开启了跟踪更改。 |
2021 年 6 月 8 日 |
