AWS Snowball 邊緣不再提供給新客戶。新客戶應探索AWS DataSync
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
客戶受管政策範例
在本節中,您可以找到授予各種AWS Snowball 邊緣任務管理動作許可的使用者政策範例。當您使用AWS SDKs 或 時,這些政策即可運作AWS CLI。當您使用主控台時,需要授予主控台特定的額外許可,這會在「使用AWS Snowball 邊緣主控台所需的許可」中予以討論。
注意
所有範例都使用 us-west-2 區域,且其中的帳戶 ID 皆為虛構。
範例
範例 1:允許使用者建立任務以使用 API 訂購 Snowball Edge 裝置的角色政策
以下許可政策是用於使用任務管理 API 授予任務或叢集建立許可之任何政策的必要元件。需要 陳述式做為 Snowball IAM 角色的信任關係政策陳述式。
- JSON
-
-
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "importexport.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
範例 2:建立匯入任務的角色政策
您可以使用下列角色信任政策,為使用AWS Lambda函數的 Snowball Edge 建立匯入任務AWS IoT Greengrass。
- JSON
-
-
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucketMultipartUploads" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "s3:GetBucketPolicy", "s3:GetBucketLocation", "s3:ListBucketMultipartUploads", "s3:ListBucket", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts", "s3:PutObjectAcl", "s3:GetObject" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CreateKeysAndCertificate", "iot:CreatePolicy", "iot:CreateThing", "iot:DescribeEndpoint", "iot:GetPolicy" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetFunction" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "greengrass:CreateCoreDefinition", "greengrass:CreateDeployment", "greengrass:CreateDeviceDefinition", "greengrass:CreateFunctionDefinition", "greengrass:CreateGroup", "greengrass:CreateGroupVersion", "greengrass:CreateLoggerDefinition", "greengrass:CreateSubscriptionDefinition", "greengrass:GetDeploymentStatus", "greengrass:UpdateGroupCertificateConfiguration", "greengrass:CreateGroupCertificateAuthority", "greengrass:GetGroupCertificateAuthority", "greengrass:ListGroupCertificateAuthorities", "greengrass:ListDeployments", "greengrass:GetGroup", "greengrass:GetGroupVersion", "greengrass:GetCoreDefinitionVersion" ], "Resource": [ "*" ] } ] }
範例 3:建立匯出任務的角色政策
您可以使用下列角色信任政策,為使用AWS LambdaAWS IoT Greengrass函數的 Snowball Edge 建立匯出任務。
- JSON
-
-
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CreateKeysAndCertificate", "iot:CreatePolicy", "iot:CreateThing", "iot:DescribeEndpoint", "iot:GetPolicy" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetFunction" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "greengrass:CreateCoreDefinition", "greengrass:CreateDeployment", "greengrass:CreateDeviceDefinition", "greengrass:CreateFunctionDefinition", "greengrass:CreateGroup", "greengrass:CreateGroupVersion", "greengrass:CreateLoggerDefinition", "greengrass:CreateSubscriptionDefinition", "greengrass:GetDeploymentStatus", "greengrass:UpdateGroupCertificateConfiguration", "greengrass:CreateGroupCertificateAuthority", "greengrass:GetGroupCertificateAuthority", "greengrass:ListGroupCertificateAuthorities", "greengrass:ListDeployments", "greengrass:GetGroup", "greengrass:GetGroupVersion", "greengrass:GetCoreDefinitionVersion" ], "Resource": [ "*" ] } ] }
範例 4:預期的角色許可和信任政策
下列預期的角色許可政策是現有服務角色使用的必要項目。這是一次性設定。
下列預期的角色信任政策是現有服務角色使用的必要項目。這是一次性設定。
- JSON
-
-
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "importexport.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
AWS Snowball 邊緣 API 許可:動作、資源和條件參考
當您設定中的存取控制AWS 雲端並撰寫可連接至 IAM 身分 (身分類型政策) 的許可政策時,可以參考下列資料表。下表每個AWS Snowball 邊緣任務管理 API 操作,以及您可以授予執行動作許可的對應動作。它還包含您可以授予許可之AWS資源的每個 API 操作。您在政策的 Action 欄位中指定動作,然後在政策的 Resource 欄位中指定資源值。
您可以在AWS Snowball 邊緣政策中使用AWS整個條件索引鍵來表達條件。如需AWS全系列金鑰的完整清單,請參閱《IAM 使用者指南》中的可用金鑰。
注意
若要指定動作,請使用後接 API 操作名稱的 snowball: 字首 (例如,snowball:CreateJob)。
使用捲軸查看資料表的其餘部分。
| 任務管理 API 動作 | 所需的許可 |
|---|---|
snowball:CancelCluster |
|
|
|
|
snowball:CreateAddress |
|
這個動作需要以下許可:
|
|
|
|
snowball:DescribeAddress |
|
snowball:DescribeAddresses |
|
snowball:DescribeCluster |
|
snowball:DescribeJob |
|
snowball:GetJobManifest |
|
snowball:GetJobUnlockCode |
|
snowball:GetSnowballUsage |
|
snowball:ListClusterJobs |
|
snowball:ListClusters |
|
snowball:ListJobs |
|
snowball:UpdateCluster |
|
snowball:UpdateJob |