本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 的存取管理 AWS DataSync
每個 AWS 資源都由 擁有 AWS 帳戶。建立或存取資源的許可由許可政策所控管。帳戶管理員可以將許可政策連接至 AWS Identity and Access Management (IAM) 身分。有些服務 (例如 AWS Lambda) 也支援將許可政策連接至 資源。
**注意**
*帳戶管理員*是在 中具有管理員權限的使用者 AWS 帳戶。如需詳細資訊,請參閱《[IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)》中的 *IAM 最佳實務*。
**Topics**
+ [DataSync 資源和操作](#access-control-specify-datasync-actions)
+ [了解資源所有權](#access-control-owner)
+ [管理 資源的存取](#access-control-managing-permissions)
+ [指定政策元素:動作、效果、資源和主體](#policy-elements)
+ [在政策中指定條件](#specifying-conditions)
+ [建立 VPC 端點政策](#endpoint-policy-example)
## DataSync 資源和操作
在 DataSync 中,主要資源是客服人員、位置、任務和任務執行。
這些資源都有與其相關的唯一 Amazon Resource Name (ARN),如下表所示。
| Resource Type (資源類型) | ARN 格式 |
| --- | --- |
| 客服人員 ARN | `arn:aws:datasync:region:account-id:agent/agent-id` |
| 位置 ARN | `arn:aws:datasync:region:account-id:location/location-id` |
| 任務 ARN | `arn:aws:datasync:region:account-id:task/task-id ` |
| 任務執行 ARN | `arn:aws:datasync:region:account-id:task/task-id/execution/exec-id` |
若要授予特定 API 操作的許可,例如建立任務,DataSync 會定義一組您可以在許可政策中指定的動作。API 操作會需要多個動作的許可。
## 了解資源所有權
*資源擁有者*是建立資源 AWS 帳戶 的 。也就是說,資源擁有者是驗證建立資源之請求 AWS 帳戶 的*委託人實體* (例如 IAM 角色) 的 。下列範例說明此行為的運作方式:
+ 如果您使用 的根帳戶登入 AWS 帳戶 資料來建立任務,則您的 AWS 帳戶 是資源的擁有者 (在 DataSync 中,資源是任務)。
+ 如果您在 中建立 IAM 角色 AWS 帳戶 ,並將 `CreateTask`動作的許可授予該使用者,則使用者可以建立任務。不過,使用者所屬 AWS 帳戶的 擁有任務資源。
+ 如果您在 中建立 AWS 帳戶 具有建立任務許可的 IAM 角色,則任何可以擔任該角色的人都可以建立任務。 AWS 帳戶角色所屬的 擁有任務資源。
## 管理 資源的存取
許可政策描述誰可以存取哪些資源。下一節說明可用來建立許可政策的選項。
**注意**
本節討論在 DataSync 內容中使用 IAM。它不提供 IAM 服務的詳細資訊。如需完整的 IAM 文件,請參閱《IAM 使用者指南》**中的[什麼是 IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。如需有關 IAM 政策語法和描述的資訊,請參閱《IAM 使用者指南》中的[AWS Identity and Access Management 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。 **
連接到 IAM 身分的政策稱為*身分類型*政策 (IAM 政策),而連接到資源的政策參考*資源類型政策*。DataSync 僅支援以身分為基礎的政策 (IAM 政策)。
**Topics**
+ [身分型政策](#identity-based-policies)
+ [資源型政策](#resource-based-policies)
### 身分型政策
您可以使用 IAM 政策管理 DataSync 資源存取。這些政策可協助 AWS 帳戶 管理員使用 DataSync 執行下列動作:
+ **授予建立和管理 DataSync 資源的許可** – 建立 IAM 政策,允許 中的 IAM 角色 AWS 帳戶 建立和管理 DataSync 資源,例如客服人員、位置和任務。
+ **將許可授予另一個 AWS 帳戶 或 中的角色 AWS 服務** – 建立 IAM 政策,將許可授予不同 AWS 帳戶 或 中的 IAM 角色 AWS 服務。例如:
1. 帳戶 A 管理員會建立 IAM 角色,並將許可政策連接至角色,以授予帳戶 A 中資源的許可。
1. 帳戶 A 管理員會將信任政策連接至 角色,將帳戶 B 識別為可擔任該角色的委託人。
若要授予擔任角色的 AWS 服務 許可,帳戶 A 管理員可以在信任政策中將 指定 AWS 服務 為委託人。
1. 帳戶 B 管理員接著可以將擔任角色的許可委派給帳戶 B 中的任何使用者。這可讓使用帳戶 B 中角色的任何人建立或存取帳戶 A 中的資源。
如需有關使用 IAM 來委派許可的詳細資訊,請參閱*《IAM 使用者指南》*中的[存取管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)。
下列範例政策會授予所有資源上所有`List*`動作的許可。此動作是唯讀動作,不允許資源修改。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllListActionsOnAllResources",
"Effect": "Allow",
"Action": [
"datasync:List*"
],
"Resource": "*"
}
]
}
```
------
如需搭配 DataSync 使用身分型政策的詳細資訊,請參閱 [AWS 受管政策和](security-iam-awsmanpol.md)[客戶受管政策](using-identity-based-policies.md)。如需 IAM 身分的詳細資訊,請參閱《[https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。
### 資源型政策
其他 服務,例如 Amazon S3,支援以資源為基礎的許可政策。例如,您可以將政策連接至 Simple Storage Service (Amazon S3) 儲存貯體,以管理該儲存貯體的存取許可。不過,DataSync 不支援以資源為基礎的政策。
## 指定政策元素:動作、效果、資源和主體
對於每個 DataSync 資源,服務會定義一組 API 操作 (請參閱[動作](https://docs.aws.amazon.com/datasync/latest/userguide/API_Operations.html))。若要授予這些 API 操作的許可,DataSync 會定義一組您可以在政策中指定的動作。例如,針對 DataSync 資源,會定義下列動作:`CreateTask`、 `DeleteTask`和 `DescribeTask`。執行一項 API 操作可能需要多個動作的許可。
以下是最基本的政策元素:
+ **資源** – 在政策中,您可以使用 Amazon Resource Name (ARN) 來識別要套用政策的資源。對於 DataSync 資源,您可以在 IAM 政策`(*)`中使用萬用字元。如需詳細資訊,請參閱[DataSync 資源和操作](#access-control-specify-datasync-actions)。
+ **動作**:使用動作關鍵字識別您要允許或拒絕的資源操作。例如,根據指定的`Effect`元素, `datasync:CreateTask`許可允許或拒絕使用者執行 DataSync `CreateTask`操作的許可。
+ **效果** – 您可以在使用者請求特定動作時指定效果,此效果可以是 `Allow`或 `Deny`。如果您未明確授予存取 (`Allow`) 資源的權限,則會隱含拒絕存取。您也可以明確拒絕對資源的存取,您可以這麼做來確保使用者無法存取該資源,即使不同的政策授予該使用者存取。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[授權](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-authorization)。
+ **主體**:在以身分為基礎的政策 (IAM 政策) 中,政策所連接的使用者就是隱含主體。對於資源型政策,您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於資源型政策)。DataSync 不支援以資源為基礎的政策。
若要進一步了解 IAM 政策語法和描述,請參閱《*IAM 使用者指南*》中的[AWS Identity and Access Management 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
## 在政策中指定條件
當您授予許可時,您可使用 IAM 政策語言來指定授予許可時,政策應該何時生效的條件。例如,建議只在特定日期之後套用政策。如需以政策語言指定條件的詳細資訊,請參閱《*IAM 使用者指南*》中的[條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition)。
欲表示條件,您可以使用預先定義的條件金鑰。DataSync 沒有特定的條件索引鍵。不過,您可以視需要使用 AWS 各種條件金鑰。如需 AWS 各種金鑰的完整清單,請參閱《*IAM 使用者指南*》中的[可用金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)。
## 建立 VPC 端點政策
VPC 端點政策有助於透過 DataSync VPC服務端點和啟用 FIPS 的 VPC 服務端點控制對 DataSync API 操作的存取。VPC 端點政策可讓您限制透過VPC服務端點存取的特定 DataSync API 動作,例如 `CreateTask`或 `StartTaskExecution`。
端點政策會指定以下資訊:
+ 可執行動作的主體。
+ 可執行的動作。
+ 可供執行動作的資源。
如需詳細資訊,請參閱[使用端點政策控制對 VPC 端點的存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。
**範例 政策**
以下是端點政策的範例。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"datasync:CreateTask",
"datasync:StartTaskExecution",
"datasync:DescribeTask"
],
"Resource": "arn:aws:datasync:us-east-1:123456789012:task/*"
}
]
}
```