AWSAWS Transfer Family 的受管理政策 - AWS Transfer Family
AWSTransferConsoleFullAccessAWSTransferFullAccessAWSTransferLoggingAccessAWSTransferReadOnlyAccess政策更新

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWSAWS Transfer Family 的受管理政策

若要新增使用者、群組和角色的權限,使用 AWS 受管理的原則比自己撰寫原則更容易。建立 AWS Identity and Access Management (IAM) 客戶受管政策需要時間和專業知識,這些政策僅為您的團隊提供所需的許可。若要快速開始使用,您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例,並可在您的 AWS 帳戶中使用。如需 AWS 受管政策的更多相關資訊,請參閱 IAM 使用者指南中的 AWS 受管政策。如需所有 AWS 受管理策略的詳細清單,請參閱受AWS 管政策參考指南

AWS 服務會維護和更新 AWS 受管理的策略。您無法變更 AWS 受管理原則中的權限。服務偶爾會在 AWS 受管政策中新增其他許可以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務很可能會更新 AWS 受管政策。服務不會從 AWS 受管理的政策移除權限,因此政策更新不會破壞您現有的權限。

此外,還 AWS 支援跨多個服務之工作職能的受管理原則。例如,ReadOnlyAccess AWS 受管理的策略提供對所有 AWS 服務和資源的唯讀存取權。當服務啟動新功能時,會為新作業和資源新 AWS 增唯讀權限。如需任務職能政策的清單和說明,請參閱 IAM 使用者指南有關任務職能的AWS 受管政策

AWS 受管理的策略: AWSTransferConsoleFullAccess

AWSTransferConsoleFullAccess原則可透過 AWS 管理主控台提供「Transfer Family」的完整存取權。

許可詳細資訊

此政策包含以下許可。

  • acm:ListCertificates— 授予擷取憑證 Amazon 資源名稱 (ARN) 清單和每個 ARN 網域名稱的權限。

  • ec2:DescribeAddresses— 授予描述一或多個彈性 IP 位址的權限。

  • ec2:DescribeAvailabilityZones— 授予描述您可用之一或多個可用區域的權限。

  • ec2:DescribeNetworkInterfaces— 授予描述一或多個彈性網路介面的權限。

  • ec2:DescribeSecurityGroups— 授予描述一或多個安全群組的權限。

  • ec2:DescribeSubnets— 授予描述一或多個子網路的權限。

  • ec2:DescribeVpcs— 授予描述一或多個虛擬私有雲 (VPC) 的權限。

  • ec2:DescribeVpcEndpoints— 授與描述一或多個 VPC 端點的權限。

  • health:DescribeEventAggregates— 傳回每個事件類型 (問題、排程變更和帳戶通知) 的事件數目。

  • iam:GetPolicyVersion— 授與擷取指定受管理策略版本 (包括策略文件) 相關資訊的權限。

  • iam:ListPolicies— 授與列出所有受管理策略的權限。

  • iam:ListRoles— 授予列出具有指定路徑前置詞的 IAM 角色的權限。

  • iam:PassRole— 授予將 IAM 角色傳遞給「Transfer Family」的權限。如需詳細資訊,請參閱授與使用者將角色傳遞給 AWS 服務.

  • route53:ListHostedZones— 授予取得與目前相關聯之公用和私有託管區域清單的權限 AWS 帳戶。

  • s3:ListAllMyBuckets— 授予列出要求已驗證寄件者所擁有之所有值區的權限。

  • transfer:*— 授予 Transfer Family 資源的訪問權限。星號 (*) 會授予所有資源的存取權。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "transfer.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "acm:ListCertificates",
                "ec2:DescribeAddresses",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeVpcEndpoints",
                "health:DescribeEventAggregates",
                "iam:GetPolicyVersion",
                "iam:ListPolicies",
                "iam:ListRoles",
                "route53:ListHostedZones",
                "s3:ListAllMyBuckets",
                "transfer:*"
            ],
            "Resource": "*"
        }
    ]
}

AWS 受管理的策略: AWSTransferFullAccess

AWSTransferFullAccess政策提供對 Transfer Family 服務的完全訪問權限。

許可詳細資訊

此政策包含以下許可。

  • transfer:*— 授予訪問 Transfer Family 資源的權限。星號 (*) 會授予所有資源的存取權。

  • iam:PassRole— 授予將 IAM 角色傳遞給「Transfer Family」的權限。如需詳細資訊,請參閱授與使用者將角色傳遞給 AWS 服務.

  • ec2:DescribeAddresses— 授予描述一或多個彈性 IP 位址的權限。

  • ec2:DescribeNetworkInterfaces— 授予描述一個或多個網絡接口的權限。

  • ec2:DescribeVpcEndpoints— 授與描述一或多個 VPC 端點的權限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "transfer:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "transfer.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeAddresses"
            ],
            "Resource": "*"
        }
    ]
}

AWS 受管理的策略: AWSTransferLoggingAccess

AWSTransferLoggingAccess政策會授予 AWS Transfer Family 完整存取權,以建立記錄串流和群組,並將記錄事件放入您的帳戶。

許可詳細資訊

此原則包含的下列權限 Amazon CloudWatch Logs。

  • CreateLogStream— 授與主體建立記錄資料流的權限。

  • DescribeLogStreams— 授與主參與者列出記錄群組之記錄資料流的權限。

  • CreateLogGroup— 授與主參與者建立記錄群組的權限。

  • PutLogEvents— 授與主參與者將記錄事件批次上載至記錄串流的權限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:CreateLogGroup",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        }
    ]
}

AWS 受管理的策略: AWSTransferReadOnlyAccess

此原AWSTransferReadOnlyAccess則提供 Transfer Family 服務的唯讀存取權。

許可詳細資訊

此原則包含「Transfer Family 列」的下列權限。

  • DescribeUser— 授與主參與者檢視使用者描述的權限。

  • DescribeServer— 授與主參與者檢視伺服器描述的權限。

  • ListUsers— 授與主參與者列出伺服器使用者的權限。

  • ListServers— 授與主參與者列出帳戶伺服器的權限。

  • TestIdentityProvider— 授與主體的權限,以測試已配置的身分識別提供者是否正確設定。

  • ListTagsForResource— 授與主參與者列出資源標籤的權限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "transfer:DescribeUser",
                "transfer:DescribeServer",
                "transfer:ListUsers",
                "transfer:ListServers",
                "transfer:TestIdentityProvider",
                "transfer:ListTagsForResource"
            ],
            "Resource": "*"
        }
    ]
}

AWS 將 Family 更新轉移至 AWS 受管理的

檢視有關 AWS Transfer Family AWS 受管理政策更新的詳細資料,因為此服務開始追蹤這些變更。如需有關此頁面變更的自動提醒,請訂閱 的文件歷史記錄 AWS Transfer Family 頁面的 RSS 摘要。

變更 描述 日期

文件更新

新增每個「Transfer Family」管理政策的區段。

2022 年 1 月 27 日

AWSTransferReadOnlyAccess – 更新現有政策

AWS Transfer Family 已新增權限以允許讀取原則 AWS Managed Microsoft AD。

2021 年 9 月 30 日

AWS Transfer Family 開始追蹤變更

AWS Transfer Family 已開始追蹤其 AWS 受管理政策的變更。

 2021 年 6 月 15 日