Beispiel 1: Rollenrichtlinie, die es einem Benutzer ermöglicht, einen Job zu erstellen, um ein Snow Family-Gerät mit der API zu bestellen Beispiel 2: Rollenrichtlinie zum Erstellen von Importaufträgen Beispiel 3: Rollenrichtlinie zum Erstellen von Exportaufträgen Beispiel 4: Erwartete Rollenberechtigungen und Vertrauensrichtlinie Referenz zu Berechtigungen für die Auftragsverwaltungs-API

Beispiele für vom Kunden verwaltete Richtlinien

In diesem Abschnitt finden Sie Beispielbenutzerrichtlinien, die Berechtigungen für verschiedene AWS Snowball Auftragsverwaltungsaktionen gewähren. Diese Richtlinien funktionieren, wenn Sie AWS SDKs oder die AWS CLI verwenden. Bei Verwendung der Konsole müssen Sie zusätzliche konsolenspezifische Berechtigungen erteilen, die im Abschnitt Für die Verwendung der AWS Snowball Konsole sind Berechtigungen erforderlich erläutert werden.

Anmerkung

In allen Beispielen werden die Region „us-west-2” und fiktive Konto-IDs verwendet.

Beispiele

Beispiel 1: Rollenrichtlinie, die es einem Benutzer ermöglicht, einen Job zu erstellen, um ein Snow Family-Gerät mit der API zu bestellen
Beispiel 2: Rollenrichtlinie zum Erstellen von Importaufträgen
Beispiel 3: Rollenrichtlinie zum Erstellen von Exportaufträgen
Beispiel 4: Erwartete Rollenberechtigungen und Vertrauensrichtlinie
AWS Snowball API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen

Beispiel 1: Rollenrichtlinie, die es einem Benutzer ermöglicht, einen Job zu erstellen, um ein Snow Family-Gerät mit der API zu bestellen

Die folgende Berechtigungsrichtlinie ist eine notwendige Komponente für alle Richtlinien, die Berechtigungen zur Auftrags- oder Clustererstellung über die Auftragsverwaltungs-API erteilen. Die Erklärung wird als Grundsatzerklärung zur Vertrauensbeziehung für die Snowball IAM-Rolle benötigt.



{
    "Version": "2012-10-17",
    "Statement": [
    {
         "Effect": "Allow",
         "Principal": {
         "Service": "importexport.amazonaws.com"
    },
    "Action": "sts:AssumeRole"
    }
    ]
}

Beispiel 2: Rollenrichtlinie zum Erstellen von Importaufträgen

Sie verwenden die folgende Rollenvertrauensrichtlinie, um Importaufträge für Snowball Edge zu erstellen, die AWS Lambda AWS IoT Greengrass Power-By-Funktionen verwenden.



                    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketPolicy",
                "s3:GetBucketLocation",
                "s3:ListBucketMultipartUploads",
                "s3:ListBucket",
                "s3:HeadBucket",
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts",
                "s3:PutObjectAcl",
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "snowball:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iot:AttachPrincipalPolicy",
                "iot:AttachThingPrincipal",
                "iot:CreateKeysAndCertificate",
                "iot:CreatePolicy",
                "iot:CreateThing",
                "iot:DescribeEndpoint",
                "iot:GetPolicy"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "lambda:GetFunction"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "greengrass:CreateCoreDefinition",
                "greengrass:CreateDeployment",
                "greengrass:CreateDeviceDefinition",
                "greengrass:CreateFunctionDefinition",
                "greengrass:CreateGroup",
                "greengrass:CreateGroupVersion",
                "greengrass:CreateLoggerDefinition",
                "greengrass:CreateSubscriptionDefinition",
                "greengrass:GetDeploymentStatus",
                "greengrass:UpdateGroupCertificateConfiguration",
                "greengrass:CreateGroupCertificateAuthority",
                "greengrass:GetGroupCertificateAuthority",
                "greengrass:ListGroupCertificateAuthorities",
                "greengrass:ListDeployments", 
                "greengrass:GetGroup", 
                "greengrass:GetGroupVersion", 
                "greengrass:GetCoreDefinitionVersion"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Beispiel 3: Rollenrichtlinie zum Erstellen von Exportaufträgen

Sie verwenden die folgende Rollenvertrauensrichtlinie, um Exportaufträge für Snowball Edge zu erstellen, die AWS Lambda AWS IoT Greengrass Power-By-Funktionen verwenden.



                    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
           "Effect": "Allow",
           "Action": [
                "snowball:*"
           ],
           "Resource": [
                "*"
           ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iot:AttachPrincipalPolicy",
                "iot:AttachThingPrincipal",
                "iot:CreateKeysAndCertificate",
                "iot:CreatePolicy",
                "iot:CreateThing",
                "iot:DescribeEndpoint",
                "iot:GetPolicy"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "lambda:GetFunction"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "greengrass:CreateCoreDefinition",
                "greengrass:CreateDeployment",
                "greengrass:CreateDeviceDefinition",
                "greengrass:CreateFunctionDefinition",
                "greengrass:CreateGroup",
                "greengrass:CreateGroupVersion",
                "greengrass:CreateLoggerDefinition",
                "greengrass:CreateSubscriptionDefinition",
                "greengrass:GetDeploymentStatus",
                "greengrass:UpdateGroupCertificateConfiguration",
                "greengrass:CreateGroupCertificateAuthority",
                "greengrass:GetGroupCertificateAuthority",
                "greengrass:ListGroupCertificateAuthorities",
                "greengrass:ListDeployments", 
                "greengrass:GetGroup", 
                "greengrass:GetGroupVersion", 
                "greengrass:GetCoreDefinitionVersion"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Beispiel 4: Erwartete Rollenberechtigungen und Vertrauensrichtlinie

Die folgende Richtlinie für erwartete Rollenberechtigungen ist für die Verwendung einer vorhandenen Servicerolle erforderlich. Es handelt sich um eine einmalige Einrichtung.


{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Effect": "Allow",
            "Action": "sns:Publish",
            "Resource": ["[[snsArn]]"]
        },
        {
            "Effect": "Allow",
            "Action":
            [
                "cloudwatch:ListMetrics",
                "cloudwatch:GetMetricData",
                "cloudwatch:PutMetricData"
            ],
            "Resource":
            [
                "*"
            ],
            "Condition": {
                    "StringEquals": {
                        "cloudwatch:namespace": "AWS/SnowFamily"
                    }
            }
        }
    ]
}

Die folgende Richtlinie für das Vertrauen in Rollen ist für die Verwendung einer vorhandenen Servicerolle erforderlich. Es handelt sich um eine einmalige Einrichtung.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "importexport.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

AWS Snowball API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen

Wenn Sie die Zugriffskontrolle im AWS Cloud einrichten und eine Berechtigungsrichtlinie für eine IAM-Identität (identitätsbasierte Richtlinie) verfassen, können Sie die folgende Tabelle als Referenz verwenden. Die folgende Tabelle jeden API-Vorgang für die AWS Snowball Auftragsverwaltung und die entsprechenden Aktionen, für die Sie Berechtigungen zur Ausführung der Aktion erteilen können. Sie enthält auch für jeden API-Vorgang die AWS Ressource, für die Sie die Berechtigungen erteilen können. Die Aktionen geben Sie im Feld Action und den Wert für die Ressource im Feld Resource der Richtlinie an.

Sie können in Ihren AWS Snowball Richtlinien AWS allgemeine Bedingungsschlüssel verwenden, um Bedingungen auszudrücken. Eine vollständige Liste der AWS-weiten Schlüssel finden Sie unter Verfügbare Schlüssel im IAM-Benutzerhandbuch.

Anmerkung

Um eine Aktion anzugeben, verwenden Sie das Präfix snowball: gefolgt vom Namen der API-Operation (z. B. snowball:CreateJob).

Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.

AWS Snowball Job Management API und erforderliche Berechtigungen für Aktionen
Aktionen der Auftragsverwaltungs-API	Erforderliche Berechtigungen
CancelCluster	`snowball:CancelCluster`
CancelJob	`snowball:CancelJob`
CreateAddress	`snowball:CreateAddress`
CreateCluster	Diese Aktion erfordert folgende Berechtigungen: Die vollständigen Konsolenberechtigungen, beschrieben in Für die Verwendung der AWS Snowball Konsole sind Berechtigungen erforderlich Die zusätzlichen API-spezifischen Berechtigungen, beschrieben in Beispiel 1: Rollenrichtlinie, die es einem Benutzer ermöglicht, einen Job zu erstellen, um ein Snow Family-Gerät mit der API zu bestellen `snowball:CreateCluster`
CreateJob	Die vollständigen Konsolenberechtigungen, beschrieben in Für die Verwendung der AWS Snowball Konsole sind Berechtigungen erforderlich Die zusätzlichen API-spezifischen Berechtigungen, beschrieben in Beispiel 1: Rollenrichtlinie, die es einem Benutzer ermöglicht, einen Job zu erstellen, um ein Snow Family-Gerät mit der API zu bestellen `snowball:CreateJob`
DescribeAddress	`snowball:DescribeAddress`
DescribeAddresses	`snowball:DescribeAddresses`
DescribeCluster	`snowball:DescribeCluster`
DescribeJob	`snowball:DescribeJob`
GetJobManifest	`snowball:GetJobManifest`
GetJobUnlockCode	`snowball:GetJobUnlockCode`
GetSnowballUsage	`snowball:GetSnowballUsage`
ListClusterJobs	`snowball:ListClusterJobs`
ListClusters	`snowball:ListClusters`
ListJobs	`snowball:ListJobs`
UpdateCluster	`snowball:UpdateCluster`
UpdateJob	`snowball:UpdateJob`

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien)

Protokollieren und Überwachen