的 IAM 客戶受管政策AWS DataSync - AWS DataSync
自訂政策的概自訂政策範例

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

的 IAM 客戶受管政策AWS DataSync

除了AWS受管政策之外,您還可以為AWS DataSync API 操作建立自己的身分型政策,並將其附加到需要這些許可的AWS Identity and Access Management (IAM) 身分識別。這些政策稱為客戶受管政策,是您自己管理的獨立政策AWS 帳戶。

重要

開始操作前,建議您了解管理DataSync資源存取權的基本概念和選項。如需詳細資訊,請參閱存取管理AWS DataSync

自訂政策的概

下列範例是授與使用特定DataSync作業之權限的原則。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowsSpecifiedActionsOnAllTasks",
            "Effect": "Allow",
            "Action": [
                "datasync:DescribeTask",
                "datasync:ListTasks"
            ],
            "Resource": "arn:aws:datasync:us-east-2:111222333444:task/*"
        },    
}

此原則有一個陳述式 (請注意陳述式中的ActionResource元素),可執行下列動作:

  • 授予使用 Amazon 資源名稱 (ARNdatasync:ListTasks) 對特定任務資源執行兩個DataSync動作 (datasync:DescribeTask和) 的權限。

  • 在工作 ARN 中指定萬用字元 (*),因為 IAM 角色可對所有工作執行這兩個動作。若要將動作的權限限制為特定工作,請在該陳述式中指定工作 ID 而非萬用字元。

自訂政策範例

下列範例使用者政策授予DataSync執行各種操作的許可。如果您使用的是AWS SDK 或AWS Command Line Interface (AWS CLI),則原則會運作。若要在主控台中使用這些策略,您還必須使用受管理的策略AWSDataSyncFullAccess

範例 1:建立可存取 Amazon S3 儲DataSync存貯體的信任關係

以下為允許 DataSync 擔任 IAM 角色的信任政策範例。這個角色允DataSync許存取 Amazon S3 儲存貯體。若要避免跨服務混淆的副問題,我們建議您在原則中使用aws:SourceArnaws:SourceAccount全域條件內容索引鍵。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "datasync.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*"
                }
            }
        }
    ]
}

範例 2:允許讀DataSync取和寫入您的 Amazon S3 儲存貯體

下列範例政策授予DataSync讀取和寫入 S3 儲存貯體資料的最低權限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads"
            ],
            "Effect": "Allow",
            "Resource": "YourS3BucketArn"
        },
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:ListMultipartUploadParts",
                "s3:GetObjectTagging",
                "s3:PutObjectTagging",
                "s3:PutObject"
              ],
            "Effect": "Allow",
            "Resource": "YourS3BucketArn/*"
        }
    ]
}

範例 3:允許DataSync將記錄檔上傳至記CloudWatch錄群組

DataSync需要許可才能將日誌上傳到您的 Amazon 日CloudWatch誌群組。您可以使用CloudWatch記錄群組來監視和偵錯工作。

如需授與此類許可的 IAM 政策範例,請參閱允許DataSync將記錄檔上傳至記CloudWatch錄群組