Lokales Verwenden von IAM - AWS Snowball Edge Leitfaden für Entwickler
Verwenden der AWS CLI und API-OperationenUnterstützte IAM-Befehle AWS CLI IAM-RichtlinienbeispieleTrustPolicyBeispiel

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Lokales Verwenden von IAM

AWS Identity and Access Management(IAM) hilft Ihnen, den Zugriff auf AWS Ressourcen, die auf Ihrem AWS Snowball Edge Gerät laufen, sicher zu kontrollieren. Sie verwenden IAM, um zu steuern, wer authentifiziert (angemeldet) und autorisiert (Berechtigungen besitzt) ist, Ressourcen zu nutzen.

IAM wird lokal auf Ihrem Gerät unterstützt. Sie können den lokalen IAM-Dienst verwenden, um neue Benutzer zu erstellen und ihnen IAM-Richtlinien zuzuordnen. Sie können diese Richtlinien verwenden, um den für die Ausführung zugewiesener Aufgaben notwendigen Zugriff zu ermöglichen. Sie können einem Benutzer beispielsweise die Möglichkeit geben, Daten zu übertragen, aber seine Fähigkeit einschränken, neue Amazon EC2-kompatible Instances zu erstellen.

Darüber hinaus können Sie mit AWS Security Token Service (AWS STS) lokale, sitzungsbasierte Anmeldeinformationen auf Ihrem Gerät erstellen. Informationen zum IAM-Dienst finden Sie unter Erste Schritte im IAM-Benutzerhandbuch.

Die Root-Anmeldeinformationen Ihres Geräts können nicht deaktiviert werden, und Sie können in Ihrem Konto keine Richtlinien verwenden, um dem AWS-Konto Root-Benutzer den Zugriff explizit zu verweigern. Wir empfehlen, dass Sie Ihre Root-Benutzerzugriffsschlüssel sichern und IAM-Benutzeranmeldeinformationen für die tägliche Interaktion mit Ihrem Gerät erstellen.

Wichtig

Die Dokumentation in diesem Abschnitt bezieht sich auf die lokale Verwendung von IAM auf einem AWS Snowball Edge-Gerät. Hinweise zur Verwendung von IAM in der finden Sie AWS Cloud unterIdentity and Access Management in AWS Snowball.

Damit AWS Dienste auf einem Snowball Edge ordnungsgemäß funktionieren, müssen Sie die Ports für die Dienste zulassen. Details hierzu finden Sie unter Für die Nutzung von AWS Diensten auf einem AWS Snowball Edge-Gerät erforderliche Ports.

Verwenden der AWS CLI und API-Operationen auf Snowball Edge

Wenn Sie die AWS CLI oder API-Operationen verwenden, um IAM-AWS STS, Amazon S3- und Amazon EC2-Befehle auf Snowball Edge auszuführen, müssen Sie das region als "“ angeben. snow Sie können dies mithilfe aws configure oder innerhalb des Befehls selbst tun, wie in den folgenden Beispielen.


aws configure --profile abc
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: 1234567
Default region name [None]: snow
Default output format [None]: json

Or


aws iam list-users --profile snowballEdge --endpoint http://192.0.2.0:6078 --region snow
Anmerkung

Die Zugriffsschlüssel-ID und der geheime Zugriffsschlüssel, die lokal auf AWS Snowball Edge verwendet werden, können nicht mit den Schlüsseln in der AWS Cloud ausgetauscht werden.

Liste der unterstützten AWS CLI IAM-Befehle auf einem Snowball Edge

Im Folgenden finden Sie eine Beschreibung der Teilmenge der AWS CLI Befehle und Optionen für IAM, die auf Snowball Edge-Geräten unterstützt werden. Wenn ein Befehl oder eine Option im Folgenden nicht aufgeführt ist, wird diese(r) nicht unterstützt. Nicht unterstützte Parameter für Befehle sind in der Beschreibung angegeben.

  • attach-role-policy— Hängt die angegebene verwaltete Richtlinie an die angegebene IAM-Rolle an.

  • attach-user-policy— Hängt die angegebene verwaltete Richtlinie an den angegebenen Benutzer an.

  • create-access-key— Erstellt einen neuen lokalen geheimen IAM-Zugriffsschlüssel und die entsprechende AWS Zugriffsschlüssel-ID für den angegebenen Benutzer.

  • create-policy — Erstellt eine neue von IAM verwaltete Richtlinie für Ihr Gerät.

  • create-role — Erstellt eine neue lokale IAM-Rolle für Ihr Gerät. Die folgenden Parameter werden nicht unterstützt:

    • Tags

    • PermissionsBoundary

  • create-user — Erstellt einen neuen lokalen IAM-Benutzer für Ihr Gerät. Die folgenden Parameter werden nicht unterstützt:

    • Tags

    • PermissionsBoundary

  • delete-access-key— Löscht einen neuen lokalen geheimen IAM-Zugriffsschlüssel und die entsprechende AWS Zugriffsschlüssel-ID für den angegebenen Benutzer.

  • delete-policy — Löscht die angegebene verwaltete Richtlinie.

  • delete-role — Löscht die angegebene Rolle.

  • delete-user — Löscht den angegebenen Benutzer.

  • detach-role-policy— Entfernt die angegebene verwaltete Richtlinie aus der angegebenen Rolle.

  • detach-user-policy— Entfernt die angegebene verwaltete Richtlinie vom angegebenen Benutzer.

  • get-policy — Ruft Informationen über die angegebene verwaltete Richtlinie ab, einschließlich der Standardversion der Richtlinie und der Gesamtzahl der lokalen IAM-Benutzer, -Gruppen und -Rollen, an die die Richtlinie angehängt ist.

  • get-policy-version— Ruft Informationen über die angegebene Version der angegebenen verwalteten Richtlinie ab, einschließlich des Richtliniendokuments.

  • get-role — Ruft Informationen über die angegebene Rolle ab, einschließlich Pfad, GUID, ARN und der Vertrauensrichtlinie der Rolle, die die Berechtigung zur Übernahme der Rolle erteilt.

  • get-user — Ruft Informationen über den angegebenen IAM-Benutzer ab, einschließlich des Erstellungsdatums, des Pfads, der eindeutigen ID und des ARN des Benutzers.

  • list-access-keys— Gibt Informationen zu den Zugriffsschlüssel-IDs zurück, die dem angegebenen IAM-Benutzer zugeordnet sind.

  • list-attached-role-policies— Listet alle verwalteten Richtlinien auf, die der angegebenen IAM-Rolle zugeordnet sind.

  • list-attached-user-policies— Listet alle verwalteten Richtlinien auf, die an den angegebenen IAM-Benutzer angehängt sind.

  • list-entities-for-policy— Listet alle lokalen IAM-Benutzer, -Gruppen und -Rollen auf, an die die angegebene verwaltete Richtlinie angehängt ist.

    • --EntityFilter: Es werden ausschließlich die Werte role und user unterstützt.

  • list-policies — Listet alle verwalteten Richtlinien auf, die in Ihrer Region verfügbar sind. AWS-Konto Der folgende Parameter wird nicht unterstützt:

    • --PolicyUsageFilter

  • list-roles — Listet die lokalen IAM-Rollen auf, die das angegebene Pfadpräfix haben.

  • list-users — Listet die IAM-Benutzer auf, die das angegebene Pfadpräfix haben.

  • update-access-key— Ändert den Status des angegebenen Zugriffsschlüssels von Aktiv in Inaktiv oder umgekehrt.

  • update-assume-role-policy— Aktualisiert die Richtlinie, die einer IAM-Entität die Berechtigung erteilt, eine Rolle anzunehmen.

  • update-role — Aktualisiert die Beschreibung oder die Einstellung für die maximale Sitzungsdauer einer Rolle.

  • update-user — Aktualisiert den Namen und/oder den Pfad des angegebenen IAM-Benutzers.

Unterstützte IAM-API-Operationen

Im Folgenden finden Sie die IAM-API-Operationen, die Sie mit einem Snowball Edge verwenden können, mit Links zu ihren Beschreibungen in der IAM-API-Referenz.

  • AttachRolePolicy— Hängt die angegebene verwaltete Richtlinie an die angegebene IAM-Rolle an.

  • AttachUserPolicy— Hängt die angegebene verwaltete Richtlinie an den angegebenen Benutzer an.

  • CreateAccessKey— Erstellt einen neuen lokalen geheimen IAM-Zugriffsschlüssel und die entsprechende AWS Zugriffsschlüssel-ID für den angegebenen Benutzer.

  • CreatePolicy— Erstellt eine neue von IAM verwaltete Richtlinie für Ihr Gerät.

  • CreateRole— Erzeugt eine neue lokale IAM-Rolle für Ihr Gerät.

  • CreateUser— Erzeugt einen neuen lokalen IAM-Benutzer für Ihr Gerät.

    Die folgenden Parameter werden nicht unterstützt:

    • Tags

    • PermissionsBoundary

  • DeleteAccessKey— Löscht den angegebenen Zugriffsschlüssel.

  • DeletePolicy— Löscht die angegebene verwaltete Richtlinie.

  • DeleteRole— Löscht die angegebene Rolle.

  • DeleteUser— Löscht den angegebenen Benutzer.

  • DetachRolePolicy— Entfernt die angegebene verwaltete Richtlinie aus der angegebenen Rolle.

  • DetachUserPolicy— Entfernt die angegebene verwaltete Richtlinie vom angegebenen Benutzer.

  • GetPolicy— Ruft Informationen über die angegebene verwaltete Richtlinie ab, einschließlich der Standardversion der Richtlinie und der Gesamtzahl der lokalen IAM-Benutzer, -Gruppen und -Rollen, an die die Richtlinie angehängt ist.

  • GetPolicyVersion— Ruft Informationen über die angegebene Version der angegebenen verwalteten Richtlinie ab, einschließlich des Richtliniendokuments.

  • GetRole— Ruft Informationen über die angegebene Rolle ab, einschließlich Pfad, GUID, ARN und der Vertrauensrichtlinie der Rolle, die die Berechtigung zur Übernahme der Rolle erteilt.

  • GetUser— Ruft Informationen über den angegebenen IAM-Benutzer ab, einschließlich des Erstellungsdatums, des Pfads, der eindeutigen ID und des ARN des Benutzers.

  • ListAccessKeys— Gibt Informationen zu den Zugriffsschlüssel-IDs zurück, die dem angegebenen IAM-Benutzer zugeordnet sind.

  • ListAttachedRolePolicies— Listet alle verwalteten Richtlinien auf, die der angegebenen IAM-Rolle zugeordnet sind.

  • ListAttachedUserPolicies— Listet alle verwalteten Richtlinien auf, die an den angegebenen IAM-Benutzer angehängt sind.

  • ListEntitiesForPolicy— Ruft Informationen über den angegebenen IAM-Benutzer ab, einschließlich des Erstellungsdatums, des Pfads, der eindeutigen ID und des ARN des Benutzers.

    • --EntityFilter: Es werden ausschließlich die Werte role und user unterstützt.

  • ListPolicies— Listet alle verwalteten Richtlinien auf, die in Ihrer Region verfügbar sindAWS-Konto. Der folgende Parameter wird nicht unterstützt:

    • --PolicyUsageFilter

  • ListRoles— Listet die lokalen IAM-Rollen auf, die das angegebene Pfadpräfix haben.

  • ListUsers— Listet die IAM-Benutzer auf, die das angegebene Pfadpräfix haben.

  • UpdateAccessKey— Ändert den Status des angegebenen Zugriffsschlüssels von Aktiv in Inaktiv oder umgekehrt.

  • UpdateAssumeRolePolicy— Aktualisiert die Richtlinie, die einer IAM-Entität die Berechtigung erteilt, eine Rolle anzunehmen.

  • UpdateRole— Aktualisiert die Beschreibung oder Einstellung für die maximale Sitzungsdauer einer Rolle.

  • UpdateUser— Aktualisiert den Namen und/oder den Pfad des angegebenen IAM-Benutzers.

Version und Grammatik der unterstützten IAM-Richtlinie

Im Folgenden finden Sie die lokale IAM-Unterstützungsversion 2012-10-17 der IAM-Richtlinie und einen Teilsatz der Richtliniengrammatik.

Richtlinientyp Unterstützte Grammatik
Identitätsbasierte Richtlinien (Benutzer-/Rollenrichtlinie) Effect“, „Action“ und „Resource
Anmerkung

Lokales IAM „Condition“, „NotAction“, „NotResource“ und „Principal“ nicht.

Ressourcenbasierte Richtlinien (Rollenvertrauensrichtlinie) Effect“, „Action“ und „Principal
Anmerkung

Für Principal ist nur AWS-Konto ID oder Principal-ID zulässig.

IAM-Richtlinienbeispiele

Anmerkung

AWS Identity and Access Management(IAM) -Benutzer benötigen "snowballdevice:*" Berechtigungen, um die AWS OpsHub for Snow FamilyAnwendung zur Verwaltung von Snow Family-Geräten verwenden zu können.

Im Folgenden finden Sie Beispiele für Richtlinien, die Berechtigungen für ein Snowball Edge-Gerät gewähren.

Beispiel 1: Erlaubt den GetUser Aufruf für einen Beispielbenutzer über die IAM-API

Verwenden Sie die folgende Richtlinie, um den GetUser Aufruf für einen Beispielbenutzer über die IAM-API zuzulassen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "iam:GetUser",
            "Resource": "arn:aws:iam:::user/example-user"
        }
    ]
}

Beispiel 2: Ermöglicht vollen Zugriff auf die Amazon S3-API

Verwenden Sie die folgende Richtlinie, um vollen Zugriff auf die Amazon S3-API zu gewähren.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": "*"
            
        }
    ]
}

Beispiel 3: Ermöglicht Lese- und Schreibzugriff auf einen bestimmten Amazon S3-Bucket

Mit der folgenden Richtlinie ermöglichen Sie den Lese- und Schreibzugriff auf einen bestimmten Bucket.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::bucket-name"
        },
        {
            "Sid": "AllObjectActions",
            "Effect": "Allow",
            "Action": "s3:*Object",
            "Resource": "arn:aws:s3:::bucket-name/*"
        }
    ]
}

Beispiel 4: Ermöglicht List-, Get- und Put-Zugriff auf einen bestimmten Amazon S3-Bucket

Verwenden Sie die folgende Richtlinie, um List-, Get- und Put-Zugriff auf einen bestimmten S3-Bucket zuzulassen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:List*"
            ],
            "Resource": "arn:aws:s3:::examplebucket/*"
        }
    ]
}

Beispiel 5: Ermöglicht vollen Zugriff auf die Amazon EC2-API

Verwenden Sie die folgende Richtlinie, um vollen Zugriff auf Amazon EC2 zu gewähren.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:*",
            "Resource": "*"
        }
    ]
}

Beispiel 6: Ermöglicht den Zugriff auf das Starten und Stoppen von Amazon EC2-kompatiblen Instances

Verwenden Sie die folgende Richtlinie, um den Zugriff auf das Starten und Stoppen von Amazon EC2-Instances zu gewähren.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*"
        }
    ]
}

Beispiel 7: Lehnt Anrufe ab, lässt DescribeLaunchTemplates aber alle Anrufe an zu DescribeImages

Mit der folgenden Richtlinie können Sie Aufrufe von DescribeLaunchTemplates ablehnen, jedoch alle Aufrufe von DescribeImages zulassen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ec2:DescribeLaunchTemplates"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages"
            ],
            "Resource": "*"
        }
    ]
}

Beispiel 8: Richtlinie für API-Aufrufe

Listet alle verwalteten Richtlinien auf, die auf Ihrem Snow-Gerät verfügbar sind, einschließlich Ihrer eigenen kundendefinierten verwalteten Richtlinien. Weitere Details finden Sie in den Listenrichtlinien.

aws iam list-policies --endpoint http://ip-address:6078 --profile snowballEdge --region snow
{
    "Policies": [
        {
            "PolicyName": "Administrator",
            "Description": "Root user admin policy for Account 123456789012",
            "CreateDate": "2020-03-04T17:44:59.412Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "policy-id",
            "DefaultVersionId": "v1",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:policy/Administrator",
            "UpdateDate": "2020-03-04T19:10:45.620Z"
        }
    ]
}

TrustPolicyBeispiel

Eine Vertrauensrichtlinie gibt eine Reihe temporärer Sicherheitsanmeldeinformationen zurück, mit denen Sie auf AWS Ressourcen zugreifen können, auf die Sie normalerweise möglicherweise keinen Zugriff haben. Diese temporären Anmeldeinformationen bestehen aus einer Zugriffsschlüssel-ID, einem geheimen Zugriffsschlüssel und einem Sicherheits-Token. In der Regel verwenden Sie für den kontoübergreifenden Zugriff AssumeRole in Ihrem Konto.

Im Folgenden finden Sie ein Beispiel für eine Vertrauensrichtlinie. Weitere Informationen zur Vertrauensrichtlinie finden Sie AssumeRolein der AWS Security Token ServiceAPI-Referenz.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::AccountId:root" //You can use the Principal ID instead of the account ID. 
                ]
            },
            "Action": [
                "sts:AssumeRole"
            ]
        }
    ]
}