本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 的 IAM 客戶受管政策 AWS DataSync
除了 AWS 受管政策之外,您也可以為 建立自己的身分型政策 AWS DataSync ,並將其連接到需要這些許可的 AWS Identity and Access Management (IAM) 身分。這些稱為*客戶受管政策*,是您自行管理的獨立政策 AWS 帳戶。
**重要**
在開始之前,我們建議您了解管理 DataSync 資源存取的基本概念和選項。如需詳細資訊,請參閱[的存取管理 AWS DataSync](managing-access-overview.md)。
建立客戶受管政策時,您會包含有關可在特定 AWS 資源上使用之 DataSync 操作的陳述式。下列範例政策有兩個陳述式 (請注意每個陳述式中的 `Action`和 `Resource`元素):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowsSpecifiedActionsOnAllTasks",
"Effect": "Allow",
"Action": "datasync:DescribeTask",
"Resource": "arn:aws:datasync:us-east-1:111122223333:task/*"
},
{
"Sid": "ListAllTasks",
"Effect": "Allow",
"Action": "datasync:ListTasks",
"Resource": "*"
}
]
}
```
------
政策的陳述式會執行下列動作:
+ 第一個陳述式會指定具有萬用字元 () 的 Amazon Resource Name (ARN),授予對特定傳輸任務資源執行`datasync:DescribeTask`動作的許可`*`。
+ 第二個陳述式僅指定萬用字元 (`*`),授予對所有任務執行 `datasync:ListTasks`動作的許可。
## 客戶受管政策的範例
下列範例客戶受管政策會授予各種 DataSync 操作的許可。如果您使用的是 AWS Command Line Interface (AWS CLI) 或 AWS SDK,則政策會運作。若要在 主控台中使用這些政策,您還必須使用 受管政策 `AWSDataSyncFullAccess`。
**Topics**
+ [範例 1:建立允許 DataSync 存取 Amazon S3 儲存貯體的信任關係](#datasync-example1)
+ [範例 2:允許 DataSync 讀取和寫入您的 Amazon S3 儲存貯體](#datasync-example2)
+ [範例 3:允許 DataSync 將日誌上傳至 CloudWatch 日誌群組](#datasync-example4)
### 範例 1:建立允許 DataSync 存取 Amazon S3 儲存貯體的信任關係
以下是允許 DataSync 擔任 IAM 角色的信任政策範例。此角色允許 DataSync 存取 Amazon S3 儲存貯體。為了避免[跨服務混淆代理人問題](cross-service-confused-deputy-prevention.md),我們建議在政策中使用 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)和 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)全域條件內容索引鍵。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datasync.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111111111111"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:datasync:us-east-1:111111111111:*"
}
}
}
]
}
```
------
### 範例 2:允許 DataSync 讀取和寫入您的 Amazon S3 儲存貯體
下列範例政策授予 DataSync 讀取和寫入資料到做為目的地位置之 S3 儲存貯體的最低許可。
**注意**
的值`aws:ResourceAccount`應該是擁有政策中指定之 Amazon S3 儲存貯體的帳戶 ID。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListBucketMultipartUploads"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
},
{
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetObjectVersionTagging",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:PutObjectTagging"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
}
]
}
```
### 範例 3:允許 DataSync 將日誌上傳至 CloudWatch 日誌群組
DataSync 需要許可,才能將日誌上傳至 Amazon CloudWatch 日誌群組。您可以使用 CloudWatch 日誌群組來監控和偵錯任務。
如需授予此類許可的 IAM 政策範例,請參閱 [允許 DataSync 將日誌上傳至 CloudWatch 日誌群組](configure-logging.md#cloudwatchlogs)。