Lokales Verwenden von IAM auf einem Snowball Edge - AWS Snowball Edge Leitfaden für Entwickler
Verwendung der AWS CLI und API-OperationenUnterstützte IAM-Befehle AWS CLI Beispiele für IAM-Richtlinien auf Snowball EdgeTrustPolicy Beispiel auf einem Snowball Edge

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Lokales Verwenden von IAM auf einem Snowball Edge

AWS Identity and Access Management (IAM) hilft Ihnen, den Zugriff auf AWS Ressourcen, die auf Ihrem AWS Snowball Edge Gerät ausgeführt werden, sicher zu kontrollieren. Sie verwenden IAM, um zu steuern, wer authentifiziert (angemeldet) und autorisiert (Berechtigungen besitzt) ist, Ressourcen zu nutzen.

IAM wird lokal auf Ihrem Gerät unterstützt. Sie können den lokalen IAM-Dienst verwenden, um neue Benutzer zu erstellen und ihnen IAM-Richtlinien zuzuweisen. Sie können diese Richtlinien verwenden, um den für die Ausführung zugewiesener Aufgaben notwendigen Zugriff zu ermöglichen. Sie können einem Benutzer beispielsweise die Möglichkeit geben, Daten zu übertragen, seine Fähigkeit jedoch einschränken, neue EC2 Amazon-kompatible Instances zu erstellen.

Darüber hinaus können Sie mit AWS Security Token Service (AWS STS) auf Ihrem Gerät lokale, sitzungsbasierte Anmeldeinformationen erstellen. Informationen zum IAM-Dienst finden Sie unter Erste Schritte im IAM-Benutzerhandbuch.

Die Root-Anmeldeinformationen Ihres Geräts können nicht deaktiviert werden, und Sie können in Ihrem Konto keine Richtlinien verwenden, um dem AWS-Konto Root-Benutzer ausdrücklich den Zugriff zu verweigern. Wir empfehlen Ihnen, Ihre Root-Benutzerzugriffsschlüssel zu sichern und IAM-Benutzeranmeldedaten für die tägliche Interaktion mit Ihrem Gerät zu erstellen.

Wichtig

Die Dokumentation in diesem Abschnitt bezieht sich auf die lokale Verwendung von IAM auf einem AWS Snowball Edge-Gerät. Informationen zur Verwendung von IAM in der finden Sie AWS Cloud unter. Identity and Access Management in AWS Snowball

Damit AWS Dienste auf einem Snowball Edge ordnungsgemäß funktionieren, müssen Sie die Ports für die Dienste zulassen. Details hierzu finden Sie unter Portanforderungen für AWS Dienste auf einem Snowball Edge.

Verwenden der API-Operationen AWS CLI und auf einem Snowball Edge

Wenn Sie die API-Operationen AWS CLI oder verwenden, um IAM- AWS STS, Amazon S3- und EC2 Amazon-Befehle auf Snowball Edge auszugeben, müssen Sie das region als "snowangeben. Sie können dies mithilfe aws configure oder innerhalb des Befehls selbst tun, wie in den folgenden Beispielen.


aws configure --profile abc
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: 1234567
Default region name [None]: snow
Default output format [None]: json

Oder


aws iam list-users --endpoint http://192.0.2.0:6078 --region snow --profile snowballEdge
Anmerkung

Die Zugriffsschlüssel-ID und der geheime Zugriffsschlüssel, die lokal auf AWS Snowball Edge verwendet werden, können nicht mit den Schlüsseln in der AWS Cloud ausgetauscht werden.

Liste der unterstützten AWS CLI IAM-Befehle auf einem Snowball Edge

Im Folgenden finden Sie eine Beschreibung der Teilmenge der AWS CLI Befehle und Optionen für IAM, die auf Snowball Edge-Geräten unterstützt werden. Wenn ein Befehl oder eine Option im Folgenden nicht aufgeführt ist, wird diese(r) nicht unterstützt. Nicht unterstützte Parameter für Befehle sind in der Beschreibung angegeben.

  • attach-role-policy— Fügt die angegebene verwaltete Richtlinie der angegebenen IAM-Rolle hinzu.

  • attach-user-policy— Ordnet dem angegebenen Benutzer die angegebene verwaltete Richtlinie zu.

  • create-access-key— Erstellt einen neuen lokalen geheimen IAM-Zugriffsschlüssel und die entsprechende AWS Zugriffsschlüssel-ID für den angegebenen Benutzer.

  • create-policy — Erstellt eine neue, von IAM verwaltete Richtlinie für Ihr Gerät.

  • create-role — Erstellt eine neue lokale IAM-Rolle für Ihr Gerät. Die folgenden Parameter werden nicht unterstützt:

    • Tags

    • PermissionsBoundary

  • create-user — Erstellt einen neuen lokalen IAM-Benutzer für Ihr Gerät. Die folgenden Parameter werden nicht unterstützt:

    • Tags

    • PermissionsBoundary

  • delete-access-key— Löscht einen neuen lokalen geheimen IAM-Zugriffsschlüssel und die entsprechende AWS Zugriffsschlüssel-ID für den angegebenen Benutzer.

  • delete-policy — Löscht die angegebene verwaltete Richtlinie.

  • delete-role — Löscht die angegebene Rolle.

  • delete-user — Löscht den angegebenen Benutzer.

  • detach-role-policy— Entfernt die angegebene verwaltete Richtlinie aus der angegebenen Rolle.

  • detach-user-policy— Entfernt die angegebene verwaltete Richtlinie vom angegebenen Benutzer.

  • get-policy — Ruft Informationen über die angegebene verwaltete Richtlinie ab, einschließlich der Standardversion der Richtlinie und der Gesamtzahl der lokalen IAM-Benutzer, -Gruppen und -Rollen, an die die Richtlinie angehängt ist.

  • get-policy-version— Ruft Informationen über die angegebene Version der angegebenen verwalteten Richtlinie ab, einschließlich des Richtliniendokuments.

  • get-role — Ruft Informationen über die angegebene Rolle ab, einschließlich des Pfads, der GUID, des ARN und der Vertrauensrichtlinie der Rolle, die die Erlaubnis erteilt, die Rolle anzunehmen.

  • get-user — Ruft Informationen über den angegebenen IAM-Benutzer ab, einschließlich des Erstellungsdatums, des Pfads, der eindeutigen ID und des ARN des Benutzers.

  • list-access-keys— Gibt Informationen über den Zugriffsschlüssel zurück, der dem angegebenen IDs IAM-Benutzer zugeordnet ist.

  • list-attached-role-policies— Listet alle verwalteten Richtlinien auf, die der angegebenen IAM-Rolle zugeordnet sind.

  • list-attached-user-policies— Listet alle verwalteten Richtlinien auf, die dem angegebenen IAM-Benutzer zugeordnet sind.

  • list-entities-for-policy— Listet alle lokalen IAM-Benutzer, -Gruppen und -Rollen auf, denen die angegebene verwaltete Richtlinie zugeordnet ist.

    • --EntityFilter: Es werden ausschließlich die Werte role und user unterstützt.

  • list-policies — Listet alle verwalteten Richtlinien auf, die in Ihrer lokalen Umgebung verfügbar sind. AWS-Konto Der folgende Parameter wird nicht unterstützt:

    • --PolicyUsageFilter

  • list-roles — Listet die lokalen IAM-Rollen auf, die das angegebene Pfadpräfix haben.

  • list-users — Listet die IAM-Benutzer auf, die das angegebene Pfadpräfix haben.

  • update-access-key— Ändert den Status des angegebenen Zugriffsschlüssels von Aktiv in Inaktiv oder umgekehrt.

  • update-assume-role-policy— Aktualisiert die Richtlinie, die einer IAM-Entität die Erlaubnis erteilt, eine Rolle anzunehmen.

  • update-role — Aktualisiert die Beschreibung oder die Einstellung für die maximale Sitzungsdauer einer Rolle.

  • update-user — Aktualisiert den Namen und/oder den Pfad des angegebenen IAM-Benutzers.

Unterstützte IAM-API-Operationen auf Snowball Edge

Im Folgenden finden Sie die IAM-API-Operationen, die Sie mit einem Snowball Edge verwenden können, mit Links zu ihren Beschreibungen in der IAM-API-Referenz.

  • AttachRolePolicy— Fügt die angegebene verwaltete Richtlinie der angegebenen IAM-Rolle hinzu.

  • AttachUserPolicy— Ordnet dem angegebenen Benutzer die angegebene verwaltete Richtlinie zu.

  • CreateAccessKey— Erstellt einen neuen lokalen geheimen IAM-Zugriffsschlüssel und die entsprechende AWS Zugriffsschlüssel-ID für den angegebenen Benutzer.

  • CreatePolicy— Erstellt eine neue IAM-verwaltete Richtlinie für Ihr Gerät.

  • CreateRole— Erstellt eine neue lokale IAM-Rolle für Ihr Gerät.

  • CreateUser— Erstellt einen neuen lokalen IAM-Benutzer für Ihr Gerät.

    Die folgenden Parameter werden nicht unterstützt:

    • Tags

    • PermissionsBoundary

  • DeleteAccessKey— Löscht den angegebenen Zugriffsschlüssel.

  • DeletePolicy— Löscht die angegebene verwaltete Richtlinie.

  • DeleteRole— Löscht die angegebene Rolle.

  • DeleteUser— Löscht den angegebenen Benutzer.

  • DetachRolePolicy— Entfernt die angegebene verwaltete Richtlinie aus der angegebenen Rolle.

  • DetachUserPolicy— Entfernt die angegebene verwaltete Richtlinie vom angegebenen Benutzer.

  • GetPolicy— Ruft Informationen über die angegebene verwaltete Richtlinie ab, einschließlich der Standardversion der Richtlinie und der Gesamtzahl der lokalen IAM-Benutzer, -Gruppen und -Rollen, an die die Richtlinie angehängt ist.

  • GetPolicyVersion— Ruft Informationen über die angegebene Version der angegebenen verwalteten Richtlinie ab, einschließlich des Richtliniendokuments.

  • GetRole— Ruft Informationen über die angegebene Rolle ab, einschließlich des Pfads, der GUID, des ARN und der Vertrauensrichtlinie der Rolle, die die Erlaubnis erteilt, die Rolle anzunehmen.

  • GetUser— Ruft Informationen über den angegebenen IAM-Benutzer ab, einschließlich des Erstellungsdatums, des Pfads, der eindeutigen ID und des ARN des Benutzers.

  • ListAccessKeys— Gibt Informationen über den Zugriffsschlüssel zurück, der dem angegebenen IAM-Benutzer IDs zugeordnet ist.

  • ListAttachedRolePolicies— Listet alle verwalteten Richtlinien auf, die der angegebenen IAM-Rolle zugeordnet sind.

  • ListAttachedUserPolicies— Listet alle verwalteten Richtlinien auf, die dem angegebenen IAM-Benutzer zugeordnet sind.

  • ListEntitiesForPolicy— Ruft Informationen über den angegebenen IAM-Benutzer ab, einschließlich des Erstellungsdatums, des Pfads, der eindeutigen ID und des ARN des Benutzers.

    • --EntityFilter: Es werden ausschließlich die Werte role und user unterstützt.

  • ListPolicies— Listet alle verwalteten Richtlinien auf, die in Ihrer Region verfügbar sind. AWS-Konto Der folgende Parameter wird nicht unterstützt:

    • --PolicyUsageFilter

  • ListRoles— Listet die lokalen IAM-Rollen auf, die das angegebene Pfadpräfix haben.

  • ListUsers— Listet die IAM-Benutzer auf, die das angegebene Pfadpräfix haben.

  • UpdateAccessKey— Ändert den Status des angegebenen Zugriffsschlüssels von Aktiv in Inaktiv oder umgekehrt.

  • UpdateAssumeRolePolicy— Aktualisiert die Richtlinie, die einer IAM-Entität die Erlaubnis erteilt, eine Rolle anzunehmen.

  • UpdateRole— Aktualisiert die Beschreibung oder die Einstellung für die maximale Sitzungsdauer einer Rolle.

  • UpdateUser— Aktualisiert den Namen und/oder den Pfad des angegebenen IAM-Benutzers.

Unterstützte IAM-Richtlinienversion und Grammatik auf Snowball Edge

Im Folgenden finden Sie die lokale IAM-Unterstützungsversion 2012-10-17 der IAM-Richtlinie und einen Teilsatz der Richtliniengrammatik.

Richtlinientyp Unterstützte Grammatik
Identitätsbasierte Richtlinien (Benutzer-/Rollenrichtlinie) Effect“, „Action“ und „Resource
Anmerkung

Lokales IAM „Condition“, „NotAction“, „NotResource“ und „Principal“ nicht.

Ressourcenbasierte Richtlinien (Rollenvertrauensrichtlinie) Effect“, „Action“ und „Principal
Anmerkung

Für Principal ist nur AWS-Konto ID oder Principal-ID zulässig.

Beispiele für IAM-Richtlinien auf Snowball Edge

Anmerkung

AWS Identity and Access Management (IAM) -Benutzer benötigen "snowballdevice:*" Berechtigungen, um die AWS OpsHub for Snow Family Anwendung zur Verwaltung von Snowball Edge zu verwenden.

Im Folgenden finden Sie Beispiele für Richtlinien, die einem Snowball Edge-Gerät Berechtigungen gewähren.

Zulassen des GetUser Aufrufs für einen Beispielbenutzer auf einem Snowball Edge über die IAM-API

Verwenden Sie die folgende Richtlinie, um den GetUser Aufruf eines Beispielbenutzers über die IAM-API zuzulassen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "iam:GetUser",
            "Resource": "arn:aws:iam:::user/example-user"
        }
    ]
}

Vollzugriff auf die Amazon S3 S3-API auf einem Snowball Edge zulassen

Verwenden Sie die folgende Richtlinie, um vollen Zugriff auf die Amazon S3 S3-API zu gewähren.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": "*"
            
        }
    ]
}

Lese- und Schreibzugriff auf einen Amazon S3 S3-Bucket auf einem Snowball Edge zulassen

Mit der folgenden Richtlinie ermöglichen Sie den Lese- und Schreibzugriff auf einen bestimmten Bucket.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::bucket-name"
        },
        {
            "Sid": "AllObjectActions",
            "Effect": "Allow",
            "Action": "s3:*Object",
            "Resource": "arn:aws:s3:::bucket-name/*"
        }
    ]
}

Zulassen des Auflisten-, Abruf- und Platzzugriffs auf einen Amazon S3 S3-Bucket auf einem Snowball Edge

Verwenden Sie die folgende Richtlinie, um List-, Get- und Put-Zugriff auf einen bestimmten S3-Bucket zuzulassen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:List*"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}

Vollzugriff auf die EC2 Amazon-API auf einem Snowball Edge zulassen

Verwenden Sie die folgende Richtlinie, um vollen Zugriff auf Amazon zu gewähren EC2.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:*",
            "Resource": "*"
        }
    ]
}

Zulassen des Zugriffs zum Starten und Beenden von EC2 Amazon-kompatiblen Instances auf einem Snowball Edge

Verwenden Sie die folgende Richtlinie, um den Zugriff zum Starten und Stoppen von EC2 Amazon-Instances zu gewähren.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*"
        }
    ]
}

Anrufe an einen Snowball Edge ablehnen, DescribeLaunchTemplates DescribeImages aber alle Anrufe zulassen

Mit der folgenden Richtlinie können Sie Aufrufe von DescribeLaunchTemplates ablehnen, jedoch alle Aufrufe von DescribeImages zulassen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ec2:DescribeLaunchTemplates"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages"
            ],
            "Resource": "*"
        }
    ]
}

Richtlinie für API-Aufrufe auf einem Snowball Edge

Listet alle verwalteten Richtlinien auf, die auf Ihrem Snow-Gerät verfügbar sind, einschließlich Ihrer eigenen, vom Kunden definierten verwalteten Richtlinien. Weitere Einzelheiten finden Sie in der Liste der Richtlinien.

aws iam list-policies --endpoint http://ip-address:6078 --region snow --profile snowballEdge
{
    "Policies": [
        {
            "PolicyName": "Administrator",
            "Description": "Root user admin policy for Account 123456789012",
            "CreateDate": "2020-03-04T17:44:59.412Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "policy-id",
            "DefaultVersionId": "v1",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:policy/Administrator",
            "UpdateDate": "2020-03-04T19:10:45.620Z"
        }
    ]
}

TrustPolicy Beispiel auf einem Snowball Edge

Eine Vertrauensrichtlinie gibt einen Satz temporärer Sicherheitsanmeldedaten zurück, mit denen Sie auf AWS Ressourcen zugreifen können, auf die Sie normalerweise keinen Zugriff haben. Diese temporären Anmeldeinformationen bestehen aus einer Zugriffsschlüssel-ID, einem geheimen Zugriffsschlüssel und einem Sicherheits-Token. In der Regel verwenden Sie für den kontoübergreifenden Zugriff AssumeRole in Ihrem Konto.

Im Folgenden finden Sie ein Beispiel für eine Vertrauensrichtlinie. Weitere Informationen zur Vertrauensrichtlinie finden Sie AssumeRolein der AWS Security Token Service API-Referenz.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::AccountId:root" //You can use the Principal ID instead of the account ID. 
                ]
            },
            "Action": [
                "sts:AssumeRole"
            ]
        }
    ]
}