存取管理AWS DataSync - AWS DataSync
DataSync 資源和操作了解資源所有權管理資源存取指定政策元素:動作、效果、資源和委託人在政策中指定條件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

存取管理AWS DataSync

每個AWS資源都由AWS 帳戶. 建立或存取資源的許可由許可政策所控管。帳戶管理員可以將許可政策附加到AWS Identity and Access Management (IAM) 身分。某些服務 (例如 AWS Lambda) 還支援將許可政策附加至資源。

注意

帳戶管理員是在中具有管理員許可的使用者AWS 帳戶。如需詳細資訊,請參閱《IAM 使用者指南》中的 IAM 最佳實務

DataSync 資源和操作

在中DataSync,主要資源包括代理程式、位置、工作和工作執行。

這些資源都有與其相關的唯一 Amazon Resource Name (ARN),如下表所示。

資源類型 ARN 格式

客服人員 ARN

arn:aws:datasync:region:account-id:agent/agent-id
位置 ARN

arn:aws:datasync:region:account-id:location/location-id
任務 ARN

arn:aws:datasync:region:account-id:task/task-id

任務執行 ARN

arn:aws:datasync:region:account-id:task/task-id/execution/exec-id

若要授予特定 API 操作的許可 (例如建立任務)DataSync 定義一組您可以在許可政策中指定的動作,以授予特定 API 操作的許可。API 操作會需要多個動作的許可。如需所有DataSync API 動作及其套用至的資源清單,請參閱DataSyncAPI 許可:動作和資源

了解資源所有權

源擁有者AWS 帳戶是建立資源的人。換言AWS 帳戶之,資源擁有者就是驗證建立資源請求請求的委託人實體 (例如 IAM 角色) 的委託人實體 (例如 IAM 角色) 會驗證建立資源請求。下列範例說明此行為的運作方式:

  • 如果您使用的根帳戶憑證AWS 帳戶來建立任務,您AWS 帳戶就是資源擁有者 (在中DataSync,資源即為任務)。

  • 如果您在中建立 IAM 角色AWS 帳戶並授予該使用者將CreateTask動作許可授予該使用者,該使用者就可以建立任務。不過AWS 帳戶,使用者所屬的使用者會擁有任務資源。

  • 如果您在AWS 帳戶具備任務許可中建立任務許可的 IAM 角色,則任何可以擔任該角色的人都能建立任務。角色所屬的您AWS 帳戶會擁有任務資源。

管理資源存取

許可政策描述誰可以存取哪些資源。下一節說明可用來建立許可政策的選項。

注意

本節著重討論如何在 DataSync​ 的環境中使用 IAM,它不提供 IAM 服務的詳細資訊。如需完整的 IAM 文件,請參閱《IAM 使用者指南》中的什麼是 IAM?。如需 IAM 政策語法語法和說明的詳細資訊,請參閱 IAM 使用者指南中的AWS Identity and Access Management政策參考

連接到 IAM 身分的政策稱為身分類型政策 (IAM 政策),而連接到資源的政策稱為資源類型政策。DataSync 僅支援以身分為基礎的政策 (IAM 政策)。

以身分為基礎的政策

您可以使用 IAM 政策管理DataSync資源存取。這些原則可協助AWS 帳戶系統管理員執行下列作業DataSync:

  • 授予許可以建立和管理DataSync資源 — 建立 IAM 政策,允許您AWS 帳戶中的 IAM 角色建立和管理DataSync資源,例如代理程式、位置和任務。

  • 將權限授與另一個角色AWS 帳戶或角色AWS 服務 — 建立 IAM 政策,以授與不同AWS 帳戶或其他 IAM 角色中的 IAM 角色的許可AWS 服務。例如:

    1. 帳戶 A 管理員會建立 IAM 角色,並將許可政策連接到帳戶 A 的許可政策連接到帳戶 A 的許可,以授予帳戶 A 的許可

    2. 帳戶 A 管理員會將信任政策連接至角色,該角色會將帳戶 B 管理員連接到可以擔任該角色的委託人。

      若要授與擔任角色的AWS 服務權限,帳戶 A 管理員可以在信任原則中指定AWS 服務為主參與者。

    3. 帳戶 B 管理員將擔任該角色的許可委託給帳戶 B 中的任何使用者。這麼做可讓帳戶 B 中的任何使用者建立或存取帳戶 A 的資源。

    如需有關使用 IAM 來委派許可的詳細資訊,請參閱《IAM 使用者指南》中的存取管理

以下範例政策授與所有資源上的所有List*動作的許可。此動作為唯讀動作,不允許修改資源。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllListActionsOnAllResources",
            "Effect": "Allow",
            "Action": [
                "datasync:List*"
            ],
            "Resource": "*"
        }
    ]
}

如需搭配合使用身分類型政策的詳細資訊DataSync,請參閱AWS受管政策客戶受管政策。如需 IAM 身分類型的詳細資訊,請參閱 IAM 使用者指南

資源型政策

其他服務 (例如 Amazon S3) 支援以資源為基礎的許可政策。例如,您可以將政策連接至 Simple Storage Service (Amazon S3) 儲存貯體,以管理該儲存貯體的存取許可。不過,DataSync不支援以資源為基礎的政策。

指定政策元素:動作、效果、資源和委託人

針對每一個 DataSync 資源 (請參閱 DataSyncAPI 許可:動作和資源),服務會定義一組 API 操作 (請參閱動作)。DataSync 定義一組您可在政策中指定的動作,以授予這些 API 操作的許可。例如,針對 DataSync 資源,定義的動作如下:CreateTaskDeleteTaskDescribeTask。執行一項 API 操作可能需要多個動作的許可。

以下是最基本的政策元素:

  • 資源 – 在政策中,您可以使用 Amazon Resource Name (ARN) 來識別要套用政策的資源。針對 DataSync 資源,您可以在 IAM 政策中使用萬用字元 (*)。如需詳細資訊,請參閱DataSync 資源和操作

  • 動作:您使用動作關鍵字識別您要允許或拒絕的資源操作。例如,根據指定的Effect元素,許可會允datasync:CreateTask許或拒絕使用者執行DataSyncCreateTask操作的許可。

  • 效果 — 您可以指定使用者請求特定動作時會有什麼效果,它可以是AllowDeny。如果您不明確授予存取 (Allow) 資源,將會隱含拒絕存取。您也可以明確拒絕存取資源,您可能會這麼做可確保使用者無法存取資源,即使不同政策授予該使用者存取也是一樣。如需詳細資訊,請參閱 IAM 使用者指南中的授權

  • 委託人:在以身分為基礎的政策 (IAM 政策) 中,政策所連接的使用者就是隱含委託人。對於資源類型政策,您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於資源類型政策)。DataSync 不支援資源型政策。

如需進一步了解有關 IAM 政策語法和說明的詳細資訊,請參閱 IAM 使用者指南中的AWS Identity and Access Management政策參考

如需列出所有 DataSync API 動作的表格,請參閱 DataSyncAPI 許可:動作和資源

在政策中指定條件

當您授予許可時,您可使用 IAM 政策語言來指定授予許可時,政策應該何時生效的條件。例如,建議只在特定日期之後套用政策。如需使用政策語言指定條件的詳細資訊,請參閱 IAM 使用者指南中的條

欲表示條件,您可以使用預先定義的條件金鑰。沒有 DataSync 特定的條件金鑰。不過,您可以使用適合的完AWS整條件鍵。如需全金鑰的AWS完整清單,請參閱 IAM 使用者指南中的可用的金鑰