本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 中的身分和存取管理 AWS DataSync
AWS 使用安全登入資料來識別您的身分,並授予您 AWS 存取 資源的權限。您可以使用 AWS Identity and Access Management (IAM) 的功能,允許其他使用者、服務和應用程式完整或有限地使用您的 AWS 資源,而無需共用您的安全登入資料。
根據預設,IAM 身分 (使用者、群組和角色) 沒有建立、檢視或修改 AWS 資源的許可。若要允許使用者、群組和角色存取 AWS DataSync 資源並與 DataSync 主控台和 API 互動,建議您使用 IAM 政策,授予他們使用所需特定資源和 API 動作的許可。接著將政策連接至需要存取的 IAM 身分。如需政策基本元素的概觀,請參閱 [的存取管理 AWS DataSync](managing-access-overview.md)。
**Topics**
+ [的存取管理 AWS DataSync](managing-access-overview.md)
+ [AWS 的 受管政策 AWS DataSync](security-iam-awsmanpol.md)
+ [的 IAM 客戶受管政策 AWS DataSync](using-identity-based-policies.md)
+ [使用 DataSync 的服務連結角色](using-service-linked-roles.md)
+ [在建立期間標記 DataSync 資源的許可](supported-iam-actions-tagging.md)
+ [預防跨服務混淆代理人](cross-service-confused-deputy-prevention.md)
# 的存取管理 AWS DataSync
每個 AWS 資源都由 擁有 AWS 帳戶。建立或存取資源的許可由許可政策所控管。帳戶管理員可以將許可政策連接至 AWS Identity and Access Management (IAM) 身分。有些服務 (例如 AWS Lambda) 也支援將許可政策連接至 資源。
**注意**
*帳戶管理員*是在 中具有管理員權限的使用者 AWS 帳戶。如需詳細資訊,請參閱《[IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)》中的 *IAM 最佳實務*。
**Topics**
+ [DataSync 資源和操作](#access-control-specify-datasync-actions)
+ [了解資源所有權](#access-control-owner)
+ [管理 資源的存取](#access-control-managing-permissions)
+ [指定政策元素:動作、效果、資源和主體](#policy-elements)
+ [在政策中指定條件](#specifying-conditions)
+ [建立 VPC 端點政策](#endpoint-policy-example)
## DataSync 資源和操作
在 DataSync 中,主要資源是客服人員、位置、任務和任務執行。
這些資源都有與其相關的唯一 Amazon Resource Name (ARN),如下表所示。
| Resource Type (資源類型) | ARN 格式 |
| --- | --- |
| 客服人員 ARN | `arn:aws:datasync:region:account-id:agent/agent-id` |
| 位置 ARN | `arn:aws:datasync:region:account-id:location/location-id` |
| 任務 ARN | `arn:aws:datasync:region:account-id:task/task-id ` |
| 任務執行 ARN | `arn:aws:datasync:region:account-id:task/task-id/execution/exec-id` |
若要授予特定 API 操作的許可,例如建立任務,DataSync 會定義一組您可以在許可政策中指定的動作。API 操作會需要多個動作的許可。
## 了解資源所有權
*資源擁有者*是建立資源 AWS 帳戶 的 。也就是說,資源擁有者是驗證建立資源之請求 AWS 帳戶 的*委託人實體* (例如 IAM 角色) 的 。下列範例說明此行為的運作方式:
+ 如果您使用 的根帳戶登入 AWS 帳戶 資料來建立任務,則您的 AWS 帳戶 是資源的擁有者 (在 DataSync 中,資源是任務)。
+ 如果您在 中建立 IAM 角色 AWS 帳戶 ,並將 `CreateTask`動作的許可授予該使用者,則使用者可以建立任務。不過,使用者所屬 AWS 帳戶的 擁有任務資源。
+ 如果您在 中建立 AWS 帳戶 具有建立任務許可的 IAM 角色,則任何可以擔任該角色的人都可以建立任務。 AWS 帳戶角色所屬的 擁有任務資源。
## 管理 資源的存取
許可政策描述誰可以存取哪些資源。下一節說明可用來建立許可政策的選項。
**注意**
本節討論在 DataSync 內容中使用 IAM。它不提供 IAM 服務的詳細資訊。如需完整的 IAM 文件,請參閱《IAM 使用者指南》**中的[什麼是 IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。如需有關 IAM 政策語法和描述的資訊,請參閱《IAM 使用者指南》中的[AWS Identity and Access Management 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。 **
連接到 IAM 身分的政策稱為*身分類型*政策 (IAM 政策),而連接到資源的政策參考*資源類型政策*。DataSync 僅支援以身分為基礎的政策 (IAM 政策)。
**Topics**
+ [身分型政策](#identity-based-policies)
+ [資源型政策](#resource-based-policies)
### 身分型政策
您可以使用 IAM 政策管理 DataSync 資源存取。這些政策可協助 AWS 帳戶 管理員使用 DataSync 執行下列動作:
+ **授予建立和管理 DataSync 資源的許可** – 建立 IAM 政策,允許 中的 IAM 角色 AWS 帳戶 建立和管理 DataSync 資源,例如客服人員、位置和任務。
+ **將許可授予另一個 AWS 帳戶 或 中的角色 AWS 服務** – 建立 IAM 政策,將許可授予不同 AWS 帳戶 或 中的 IAM 角色 AWS 服務。例如:
1. 帳戶 A 管理員會建立 IAM 角色,並將許可政策連接至角色,以授予帳戶 A 中資源的許可。
1. 帳戶 A 管理員會將信任政策連接至 角色,將帳戶 B 識別為可擔任該角色的委託人。
若要授予擔任角色的 AWS 服務 許可,帳戶 A 管理員可以在信任政策中將 指定 AWS 服務 為委託人。
1. 帳戶 B 管理員接著可以將擔任角色的許可委派給帳戶 B 中的任何使用者。這可讓使用帳戶 B 中角色的任何人建立或存取帳戶 A 中的資源。
如需有關使用 IAM 來委派許可的詳細資訊,請參閱*《IAM 使用者指南》*中的[存取管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)。
下列範例政策會授予所有資源上所有`List*`動作的許可。此動作是唯讀動作,不允許資源修改。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllListActionsOnAllResources",
"Effect": "Allow",
"Action": [
"datasync:List*"
],
"Resource": "*"
}
]
}
```
------
如需搭配 DataSync 使用身分型政策的詳細資訊,請參閱 [AWS 受管政策和](security-iam-awsmanpol.md)[客戶受管政策](using-identity-based-policies.md)。如需 IAM 身分的詳細資訊,請參閱《[https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。
### 資源型政策
其他 服務,例如 Amazon S3,支援以資源為基礎的許可政策。例如,您可以將政策連接至 Simple Storage Service (Amazon S3) 儲存貯體,以管理該儲存貯體的存取許可。不過,DataSync 不支援以資源為基礎的政策。
## 指定政策元素:動作、效果、資源和主體
對於每個 DataSync 資源,服務會定義一組 API 操作 (請參閱[動作](https://docs.aws.amazon.com/datasync/latest/userguide/API_Operations.html))。若要授予這些 API 操作的許可,DataSync 會定義一組您可以在政策中指定的動作。例如,針對 DataSync 資源,會定義下列動作:`CreateTask`、 `DeleteTask`和 `DescribeTask`。執行一項 API 操作可能需要多個動作的許可。
以下是最基本的政策元素:
+ **資源** – 在政策中,您可以使用 Amazon Resource Name (ARN) 來識別要套用政策的資源。對於 DataSync 資源,您可以在 IAM 政策`(*)`中使用萬用字元。如需詳細資訊,請參閱[DataSync 資源和操作](#access-control-specify-datasync-actions)。
+ **動作**:使用動作關鍵字識別您要允許或拒絕的資源操作。例如,根據指定的`Effect`元素, `datasync:CreateTask`許可允許或拒絕使用者執行 DataSync `CreateTask`操作的許可。
+ **效果** – 您可以在使用者請求特定動作時指定效果,此效果可以是 `Allow`或 `Deny`。如果您未明確授予存取 (`Allow`) 資源的權限,則會隱含拒絕存取。您也可以明確拒絕對資源的存取,您可以這麼做來確保使用者無法存取該資源,即使不同的政策授予該使用者存取。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[授權](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-authorization)。
+ **主體**:在以身分為基礎的政策 (IAM 政策) 中,政策所連接的使用者就是隱含主體。對於資源型政策,您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於資源型政策)。DataSync 不支援以資源為基礎的政策。
若要進一步了解 IAM 政策語法和描述,請參閱《*IAM 使用者指南*》中的[AWS Identity and Access Management 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
## 在政策中指定條件
當您授予許可時,您可使用 IAM 政策語言來指定授予許可時,政策應該何時生效的條件。例如,建議只在特定日期之後套用政策。如需以政策語言指定條件的詳細資訊,請參閱《*IAM 使用者指南*》中的[條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition)。
欲表示條件,您可以使用預先定義的條件金鑰。DataSync 沒有特定的條件索引鍵。不過,您可以視需要使用 AWS 各種條件金鑰。如需 AWS 各種金鑰的完整清單,請參閱《*IAM 使用者指南*》中的[可用金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)。
## 建立 VPC 端點政策
VPC 端點政策有助於透過 DataSync VPC服務端點和啟用 FIPS 的 VPC 服務端點控制對 DataSync API 操作的存取。VPC 端點政策可讓您限制透過VPC服務端點存取的特定 DataSync API 動作,例如 `CreateTask`或 `StartTaskExecution`。
端點政策會指定以下資訊:
+ 可執行動作的主體。
+ 可執行的動作。
+ 可供執行動作的資源。
如需詳細資訊,請參閱[使用端點政策控制對 VPC 端點的存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。
**範例 政策**
以下是端點政策的範例。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"datasync:CreateTask",
"datasync:StartTaskExecution",
"datasync:DescribeTask"
],
"Resource": "arn:aws:datasync:us-east-1:123456789012:task/*"
}
]
}
```
# AWS 的 受管政策 AWS DataSync
若要新增許可給使用者、群組和角色,使用 AWS 受管政策比自行撰寫政策更容易。建立 [IAM 客戶受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。若要快速開始使用,您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例,並可在您的 AWS 帳戶中使用。如需 AWS 受管政策的詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服務 維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會在 AWS 受管政策中新增其他許可以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務很可能會更新 AWS 受管政策。服務不會從 AWS 受管政策中移除許可,因此政策更新不會破壞您現有的許可。
此外, AWS 支援跨多個 服務之任務函數的受管政策。例如, `ReadOnlyAccess` AWS 受管政策提供所有 AWS 服務 和 資源的唯讀存取權。當服務啟動新功能時, 會 AWS 新增新操作和資源的唯讀許可。如需任務職能政策的清單和說明,請參閱 *IAM 使用者指南*中[有關任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
## AWS 受管政策: AWSDataSyncReadOnlyAccess
您可將 `AWSDataSyncReadOnlyAccess` 政策連接到 IAM 身分。此政策會授予 DataSync 的唯讀許可。
若要檢視此政策的許可,請參閱 *AWS 受管政策參考*中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncReadOnlyAccess.html)。
## AWS 受管政策: AWSDataSyncFullAccess
您可將 `AWSDataSyncFullAccess` 政策連接到 IAM 身分。此政策會授予 DataSync 的管理許可,而且是 AWS 管理主控台 存取 服務的必要許可。 `AWSDataSyncFullAccess`提供 DataSync API 操作的完整存取權,以及與相關資源互動的操作 (例如 Amazon S3 儲存貯體、Amazon EFS 檔案系統、 AWS KMS 金鑰和 Secrets Manager 秘密)。此政策也會授予 Amazon CloudWatch 的許可,包括建立日誌群組以及建立或更新資源政策。
若要檢視此政策的許可,請參閱 *AWS 受管政策參考*中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncFullAccess.html)。
## AWS 受管政策: AWSDataSyncServiceRolePolicy
您無法將`AWSDataSyncServiceRolePolicy`政策連接至 IAM 身分。此政策會連接到服務連結角色,允許 DataSync 代表您執行動作。如需詳細資訊,請參閱[使用 DataSync 的服務連結角色](using-service-linked-roles.md)。
此政策授予管理許可,允許服務連結角色使用增強模式為 DataSync 任務建立 Amazon CloudWatch logs。
## 政策更新
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess) – 變更 | 適用於 的 DataSync 修改許可陳述式`AWSDataSyncFullAccess`: 更新的陳述式會從 DataSync 用來建立 Secrets Manager 秘密的許可中移除標記條件。 | 2025 年 5 月 13 日 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess) – 變更 | DataSync 已將新許可新增至 `AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/datasync/latest/userguide/security-iam-awsmanpol.html) 這些許可可讓 DataSync 建立、編輯和刪除 AWS Secrets Manager 秘密。 | 2025 年 5 月 7 日 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess) – 變更 | DataSync 已將新許可新增至 `AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/datasync/latest/userguide/security-iam-awsmanpol.html) 這些許可可讓 DataSync 擷取有關 AWS Secrets Manager 秘密和 AWS KMS 金鑰的中繼資料,包括與金鑰相關聯的任何別名。 | 2025 年 4 月 23 日 |
| [AWSDataSyncServiceRolePolicy](#security-iam-awsmanpol-awsdatasyncservicerolepolicy) – 變更 | DataSync 已將新許可新增至 DataSync 服務連結角色 所使用的`AWSDataSyncServiceRolePolicy`政策`AWSServiceRoleForDataSync`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/datasync/latest/userguide/security-iam-awsmanpol.html) 這些許可可讓 DataSync 讀取由 管理之秘密的中繼資料和值 AWS Secrets Manager。 | 2025 年 4 月 15 日 |
| [AWSDataSyncServiceRolePolicy](#security-iam-awsmanpol-awsdatasyncservicerolepolicy) – 新政策 | DataSync 新增了 DataSync 服務連結角色 所使用的政策`AWSServiceRoleForDataSync`。此新受管政策會自動為使用增強模式的 DataSync 任務建立 Amazon CloudWatch logs。 | 2024 年 10 月 30 日 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess) – 變更 | DataSync 已將許可新增至 `AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/datasync/latest/userguide/security-iam-awsmanpol.html) 此許可可讓 DataSync 為您建立服務連結角色。 | 2024 年 10 月 30 日 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess) – 變更 | DataSync 已將許可新增至 `AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/datasync/latest/userguide/security-iam-awsmanpol.html) 此許可可讓您在建立之間傳輸的 DataSync 任務時選擇加入區域 AWS 區域。 | 2024 年 7 月 22 日 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess) – 變更 | DataSync 已將許可新增至 `AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/datasync/latest/userguide/security-iam-awsmanpol.html) 此許可可讓您選擇 [DataSync 資訊清單](transferring-with-manifest.md)的特定版本。 | 2024 年 2 月 16 日 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess) – 變更 | DataSync 已將新許可新增至 `AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/datasync/latest/userguide/security-iam-awsmanpol.html) 這些許可可協助您為 Amazon EFS、Amazon FSx for NetApp ONTAP、Amazon S3 和 S3 on Outposts 建立 DataSync 代理程式和位置。 | 2023 年 5 月 2 日 |
| DataSync 開始追蹤變更 | DataSync 開始追蹤其 AWS 受管政策的變更。 | 2021 年 3 月 1 日 |
# 的 IAM 客戶受管政策 AWS DataSync
除了 AWS 受管政策之外,您也可以為 建立自己的身分型政策 AWS DataSync ,並將其連接到需要這些許可的 AWS Identity and Access Management (IAM) 身分。這些稱為*客戶受管政策*,是您自行管理的獨立政策 AWS 帳戶。
**重要**
在開始之前,我們建議您了解管理 DataSync 資源存取的基本概念和選項。如需詳細資訊,請參閱[的存取管理 AWS DataSync](managing-access-overview.md)。
建立客戶受管政策時,您會包含有關可在特定 AWS 資源上使用之 DataSync 操作的陳述式。下列範例政策有兩個陳述式 (請注意每個陳述式中的 `Action`和 `Resource`元素):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowsSpecifiedActionsOnAllTasks",
"Effect": "Allow",
"Action": "datasync:DescribeTask",
"Resource": "arn:aws:datasync:us-east-1:111122223333:task/*"
},
{
"Sid": "ListAllTasks",
"Effect": "Allow",
"Action": "datasync:ListTasks",
"Resource": "*"
}
]
}
```
------
政策的陳述式會執行下列動作:
+ 第一個陳述式會指定具有萬用字元 () 的 Amazon Resource Name (ARN),授予對特定傳輸任務資源執行`datasync:DescribeTask`動作的許可`*`。
+ 第二個陳述式僅指定萬用字元 (`*`),授予對所有任務執行 `datasync:ListTasks`動作的許可。
## 客戶受管政策的範例
下列範例客戶受管政策會授予各種 DataSync 操作的許可。如果您使用的是 AWS Command Line Interface (AWS CLI) 或 AWS SDK,則政策會運作。若要在 主控台中使用這些政策,您還必須使用 受管政策 `AWSDataSyncFullAccess`。
**Topics**
+ [範例 1:建立允許 DataSync 存取 Amazon S3 儲存貯體的信任關係](#datasync-example1)
+ [範例 2:允許 DataSync 讀取和寫入您的 Amazon S3 儲存貯體](#datasync-example2)
+ [範例 3:允許 DataSync 將日誌上傳至 CloudWatch 日誌群組](#datasync-example4)
### 範例 1:建立允許 DataSync 存取 Amazon S3 儲存貯體的信任關係
以下是允許 DataSync 擔任 IAM 角色的信任政策範例。此角色允許 DataSync 存取 Amazon S3 儲存貯體。為了避免[跨服務混淆代理人問題](cross-service-confused-deputy-prevention.md),我們建議在政策中使用 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)和 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)全域條件內容索引鍵。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datasync.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111111111111"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:datasync:us-east-1:111111111111:*"
}
}
}
]
}
```
------
### 範例 2:允許 DataSync 讀取和寫入您的 Amazon S3 儲存貯體
下列範例政策授予 DataSync 讀取和寫入資料到做為目的地位置之 S3 儲存貯體的最低許可。
**注意**
的值`aws:ResourceAccount`應該是擁有政策中指定之 Amazon S3 儲存貯體的帳戶 ID。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListBucketMultipartUploads"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
},
{
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetObjectVersionTagging",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:PutObjectTagging"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
}
]
}
```
### 範例 3:允許 DataSync 將日誌上傳至 CloudWatch 日誌群組
DataSync 需要許可,才能將日誌上傳至 Amazon CloudWatch 日誌群組。您可以使用 CloudWatch 日誌群組來監控和偵錯任務。
如需授予此類許可的 IAM 政策範例,請參閱 [允許 DataSync 將日誌上傳至 CloudWatch 日誌群組](configure-logging.md#cloudwatchlogs)。
# 使用 DataSync 的服務連結角色
AWS DataSync use AWS Identity and Access Management (IAM) [ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 DataSync 的唯一 IAM 角色類型。服務連結角色由 DataSync 預先定義,並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。
**Topics**
+ [使用 DataSync 的角色](using-service-linked-roles-service-action-2.md)
# 使用 DataSync 的角色
AWS DataSync use AWS Identity and Access Management (IAM) [服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 DataSync 的唯一 IAM 角色類型。服務連結角色由 DataSync 預先定義,並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓您更輕鬆地設定 DataSync,因為您不必手動新增必要的許可。DataSync 定義其服務連結角色的許可,除非另有定義,否則只有 DataSync 可以擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。
您必須先刪除服務連結角色的相關資源,才能將其刪除。這可保護您的 DataSync 資源,因為您不會不小心移除存取資源的許可。
如需有關支援服務連結角色的其他 服務的資訊,請參閱[AWS 使用 IAM 的服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並在**服務連結角色**欄中尋找具有**是**的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## DataSync 的服務連結角色許可
DataSync 使用名為 **AWSServiceRoleForDataSync** 的服務連結角色 – 允許 DataSync 執行傳輸任務執行的基本操作,包括從 讀取秘密 AWS Secrets Manager,以及建立 CloudWatch 日誌群組和事件。
AWSServiceRoleForDataSync 服務連結角色信任下列服務擔任該角色:
+ `datasync.amazonaws.com`
服務連結角色使用名為 [AWSDataSyncServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-awsdatasyncservicerolepolicy) 的 AWS 受管政策,可讓 DataSync 對指定的資源完成下列動作:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "DataSyncCloudWatchLogCreateAccess",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream"
],
"Resource": [
"arn:*:logs:*:*:log-group:/aws/datasync*"
]
},
{
"Sid": "DataSyncCloudWatchLogStreamUpdateAccess",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:*:logs:*:*:log-group:/aws/datasync*:log-stream:*"
]
},
{
"Sid": "DataSyncSecretsManagerReadAccess",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:*:secretsmanager:*:*:secret:aws-datasync!*"
],
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/aws:secretsmanager:owningService": "aws-datasync",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
您必須設定許可,以允許您的使用者、群組或角色建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 為 DataSync 建立服務連結角色
您不需要手動建立服務連結角色,當您在 AWS 管理主控台、 AWS CLI或 AWS API 中建立 DataSync 任務時,DataSync 會為您建立服務連結角色。
在 AWS CLI 或 AWS API 中,您可以使用服務名稱建立`datasync.amazonaws.com`服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》**中的「[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」。如果您刪除此服務連結角色,您可以使用此相同的程序以再次建立該角色。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您建立 DataSync 任務時,DataSync 會再次為您建立服務連結角色。
如果您刪除這個服務連結角色,則可使用相同的 IAM 程序再次建立該角色。
## 編輯 DataSync 的服務連結角色
DataSync 不允許您編輯 AWSServiceRoleForDataSync 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 DataSync 的服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,務必清除您的服務連結角色,之後才能以手動方式將其刪除。
### 清除服務連結角色
在您使用 IAM 刪除服務連結角色之前,您必須先刪除該角色所使用的任何資源。
**注意**
如果 DataSync 服務在您嘗試刪除資源時使用角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
**刪除 AWSServiceRoleForDataSync 所使用的 DataSync 資源 AWSServiceRoleForDataSync**
1. [刪除任務所使用的 DataSync 代理程式](clean-up.md#deleting-agent) (如果有的話)。
1. [刪除任務的位置](clean-up.md#deleting-location)。
1. [刪除任務](clean-up.md#delete-task)。
### 手動刪除服務連結角色
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForDataSync 服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## DataSync 服務連結角色支援的區域
DataSync 支援在所有提供服務的區域中使用服務連結角色。如需詳細資訊,請參閱 [AWS Regions and endpoints](https://docs.aws.amazon.com/general/latest/gr/rande.html)。
# 在建立期間標記 DataSync 資源的許可
有些資源建立 AWS DataSync API 動作可讓您在建立資源時指定標籤。您可以使用資源標籤來實作屬性型存取控制 (ABAC)。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。
若要讓使用者在建立時標記資源,他們必須具有使用建立資源之動作 (例如 `datasync:CreateAgent`或 ) 的許可`datasync:CreateTask`。如果在資源建立動作中指定標籤,使用者也必須具有明確的許可才能使用該`datasync:TagResource`動作。
只有在資源建立動作中套用了標籤時,才評估 `datasync:TagResource` 動作。因此,如果請求中未指定標籤,則具有建立資源許可 (假設沒有標記條件) 的使用者不需要使用 `datasync:TagResource`動作的許可。
不過,如果使用者嘗試建立具有標籤的資源,則如果使用者沒有使用 `datasync:TagResource`動作的許可,請求會失敗。
## IAM 政策陳述式範例
使用下列範例 IAM 政策陳述式,將`TagResource`許可授予建立 DataSync 資源的使用者。
下列陳述式可讓使用者在建立代理程式時標記 DataSync 代理程式。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:us-east-1:444455556666:agent/*"
}
]
}
```
------
下列陳述式允許使用者在建立位置時標記 DataSync 位置。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:us-east-1:111122223333:location/*"
}
]
}
```
------
下列陳述式允許使用者在建立任務時標記 DataSync 任務。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:us-east-1:444455556666:task/*"
}
]
}
```
------
# 預防跨服務混淆代理人
混淆代理人問題屬於安全性議題,其中沒有執行動作許可的實體可以強制具有更多許可的實體執行該動作。在 中 AWS,跨服務模擬可能會導致混淆代理人問題。在某個服務 (*呼叫服務*) 呼叫另一個服務 (*被呼叫服務*) 時,可能會發生跨服務模擬。可以操縱呼叫服務來使用其許可,以其不應有存取許可的方式對其他客戶的資源採取動作。為了預防這種情況, AWS 提供的工具可協助您保護所有服務的資料,而這些服務主體已獲得您帳戶中資源的存取權。
我們建議在資源政策中使用 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)和 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)全域條件內容索引鍵,以限制將另一個 服務 AWS DataSync 提供給資源的許可。如果同時使用這兩個全域條件內容索引鍵,且 `aws:SourceArn` 值包含帳戶 ID,則在相同政策陳述式中使用 `aws:SourceAccount` 值和 `aws:SourceArn` 值中的帳戶時,必須使用相同的帳戶 ID。如果您想要僅允許一個資源與跨服務存取相關聯,則請使用 `aws:SourceArn`。`aws:SourceAccount` 如果您希望該帳戶中的任何資源與跨服務使用相關聯,請使用 。
的值`aws:SourceArn`必須包含允許 DataSync 擔任 IAM 角色的 DataSync 位置 ARN。
防範混淆代理人問題最有效的方法是使用 `aws:SourceArn`金鑰搭配資源的完整 ARN。如果您不知道完整的 ARN 或指定多個資源,請使用萬用字元 (`*`) 處理未知的部分。以下是如何為 DataSync 執行此操作的一些範例:
+ 若要將信任政策限制為現有的 DataSync 位置,請在政策中包含完整的位置 ARN。DataSync 只有在處理該特定位置時才會擔任 IAM 角色。
+ 為 DataSync 建立 Amazon S3 位置時,您不知道該位置的 ARN。在這些情況下,請針對`aws:SourceArn`金鑰使用下列格式:`arn:aws:datasync:us-east-2:123456789012:*`。此格式會驗證分割區 (`aws`)、帳戶 ID 和區域。
下列完整範例示範如何在信任政策中使用 `aws:SourceArn`和 `aws:SourceAccount`全域條件內容金鑰,以防止 DataSync 的混淆代理人問題。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datasync.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*"
}
}
}
]
}
```
------
如需示範如何搭配 DataSync 使用 `aws:SourceArn`和 `aws:SourceAccount`全域條件內容金鑰的更多範例政策,請參閱下列主題:
+ [建立信任關係,允許 DataSync 存取您的 Amazon S3 儲存貯體](using-identity-based-policies.md#datasync-example1)
+ [設定 IAM 角色以存取您的 Amazon S3 儲存貯體](create-s3-location.md#create-role-manually)