範例 1：允許使用者建立任務以使用 API 訂購 Snowball Edge 裝置的角色政策範例 2：建立匯入任務的角色政策範例 3：建立匯出任務的角色政策範例 4：預期的角色許可和信任政策任務管理 API 許可參考

客戶受管政策範例

在本節中，您可以找到授予各種 AWS Snowball 任務管理動作許可的使用者政策範例。當您使用 AWS SDKs或時，這些政策即可運作 AWS CLI。當您使用主控台時，需要授予主控台特定的額外許可，這會在「使用 AWS Snowball 主控台所需的許可」中予以討論。

注意

所有範例都使用 us-west-2 區域，且其中的帳戶 ID 皆為虛構。

範例

範例 1：允許使用者建立任務以使用 API 訂購 Snowball Edge 裝置的角色政策
範例 2：建立匯入任務的角色政策
範例 3：建立匯出任務的角色政策
範例 4：預期的角色許可和信任政策
AWS Snowball API 許可：動作、資源和條件參考

範例 1：允許使用者建立任務以使用 API 訂購 Snowball Edge 裝置的角色政策

以下許可政策是用於使用任務管理 API 授予任務或叢集建立許可之任何政策的必要元件。陳述式是 Snowball IAM 角色的信任關係政策陳述式所需。



{
    "Version": "2012-10-17",
    "Statement": [
    {
         "Effect": "Allow",
         "Principal": {
         "Service": "importexport.amazonaws.com"
    },
    "Action": "sts:AssumeRole"
    }
    ]
}

範例 2：建立匯入任務的角色政策

您可以使用下列角色信任政策，為使用 AWS Lambda AWS IoT Greengrass 函數的 Snowball Edge 建立匯入任務。



                    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketPolicy",
                "s3:GetBucketLocation",
                "s3:ListBucketMultipartUploads",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts",
                "s3:PutObjectAcl",
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "snowball:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iot:AttachPrincipalPolicy",
                "iot:AttachThingPrincipal",
                "iot:CreateKeysAndCertificate",
                "iot:CreatePolicy",
                "iot:CreateThing",
                "iot:DescribeEndpoint",
                "iot:GetPolicy"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "lambda:GetFunction"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "greengrass:CreateCoreDefinition",
                "greengrass:CreateDeployment",
                "greengrass:CreateDeviceDefinition",
                "greengrass:CreateFunctionDefinition",
                "greengrass:CreateGroup",
                "greengrass:CreateGroupVersion",
                "greengrass:CreateLoggerDefinition",
                "greengrass:CreateSubscriptionDefinition",
                "greengrass:GetDeploymentStatus",
                "greengrass:UpdateGroupCertificateConfiguration",
                "greengrass:CreateGroupCertificateAuthority",
                "greengrass:GetGroupCertificateAuthority",
                "greengrass:ListGroupCertificateAuthorities",
                "greengrass:ListDeployments", 
                "greengrass:GetGroup", 
                "greengrass:GetGroupVersion", 
                "greengrass:GetCoreDefinitionVersion"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

範例 3：建立匯出任務的角色政策

您可以使用下列角色信任政策，為使用 AWS Lambda AWS IoT Greengrass 函數的 Snowball Edge 建立匯出任務。



                    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
           "Effect": "Allow",
           "Action": [
                "snowball:*"
           ],
           "Resource": [
                "*"
           ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iot:AttachPrincipalPolicy",
                "iot:AttachThingPrincipal",
                "iot:CreateKeysAndCertificate",
                "iot:CreatePolicy",
                "iot:CreateThing",
                "iot:DescribeEndpoint",
                "iot:GetPolicy"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "lambda:GetFunction"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "greengrass:CreateCoreDefinition",
                "greengrass:CreateDeployment",
                "greengrass:CreateDeviceDefinition",
                "greengrass:CreateFunctionDefinition",
                "greengrass:CreateGroup",
                "greengrass:CreateGroupVersion",
                "greengrass:CreateLoggerDefinition",
                "greengrass:CreateSubscriptionDefinition",
                "greengrass:GetDeploymentStatus",
                "greengrass:UpdateGroupCertificateConfiguration",
                "greengrass:CreateGroupCertificateAuthority",
                "greengrass:GetGroupCertificateAuthority",
                "greengrass:ListGroupCertificateAuthorities",
                "greengrass:ListDeployments", 
                "greengrass:GetGroup", 
                "greengrass:GetGroupVersion", 
                "greengrass:GetCoreDefinitionVersion"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

範例 4：預期的角色許可和信任政策

下列預期的角色許可政策是現有服務角色使用的必要條件。這是一次性設定。


{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Effect": "Allow",
            "Action": "sns:Publish",
            "Resource": ["[[snsArn]]"]
        },
        {
            "Effect": "Allow",
            "Action":
            [
                "cloudwatch:ListMetrics",
                "cloudwatch:GetMetricData",
                "cloudwatch:PutMetricData"
            ],
            "Resource":
            [
                "*"
            ],
            "Condition": {
                    "StringEquals": {
                        "cloudwatch:namespace": "AWS/SnowFamily"
                    }
            }
        }
    ]
}

下列預期的角色信任政策是現有服務角色使用的必要項目。這是一次性設定。


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "importexport.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

AWS Snowball API 許可：動作、資源和條件參考

當您設定中的存取控制 AWS 雲端並撰寫可連接至 IAM 身分 (身分類型政策) 的許可政策時，可以參考下列資料表。下表每個 AWS Snowball 任務管理 API 操作，以及您可以授予執行動作許可的對應動作。它還包含每個 API 操作 AWS 的資源，您可以為其授予許可。您在政策的 Action 欄位中指定動作，然後在政策的 Resource 欄位中指定資源值。

您可以在 AWS Snowball 政策中使用 AWS全條件索引鍵來表達條件。如需 AWS全系列金鑰的完整清單，請參閱《IAM 使用者指南》中的可用金鑰。

注意

若要指定動作，請使用後接 API 操作名稱的 snowball: 字首 (例如，snowball:CreateJob)。

使用捲軸查看資料表的其餘部分。

AWS Snowball 任務管理 API 和動作的必要許可
任務管理 API 動作	所需的許可
CancelCluster	`snowball:CancelCluster`
CancelJob	`snowball:CancelJob`
CreateAddress	`snowball:CreateAddress`
CreateCluster	這個動作需要以下許可：使用 AWS Snowball 主控台所需的許可中的完整主控台許可範例 1：允許使用者建立任務以使用 API 訂購 Snowball Edge 裝置的角色政策中的其他僅限 API 許可 `snowball:CreateCluster`
CreateJob	使用 AWS Snowball 主控台所需的許可中的完整主控台許可範例 1：允許使用者建立任務以使用 API 訂購 Snowball Edge 裝置的角色政策中的其他僅限 API 許可 `snowball:CreateJob`
DescribeAddress	`snowball:DescribeAddress`
DescribeAddresses	`snowball:DescribeAddresses`
DescribeCluster	`snowball:DescribeCluster`
DescribeJob	`snowball:DescribeJob`
GetJobManifest	`snowball:GetJobManifest`
GetJobUnlockCode	`snowball:GetJobUnlockCode`
GetSnowballUsage	`snowball:GetSnowballUsage`
ListClusterJobs	`snowball:ListClusterJobs`
ListClusters	`snowball:ListClusters`
ListJobs	`snowball:ListJobs`
UpdateCluster	`snowball:UpdateCluster`
UpdateJob	`snowball:UpdateJob`

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

使用身分類型政策 (IAM 政策)

記錄和監控