Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Acciones, recursos y claves de condición para AWS Storage Gateway
AWS Amazon Storage Gateway (prefijo de servicio: storagegateway) proporciona las siguientes claves de contexto de condición, acciones y recursos específicos del servicio para su uso en las políticas de permisos de IAM.
Referencias:
-
Obtenga información para configurar este servicio.
-
Vea una lista de las operaciones de API disponibles para este servicio.
-
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos del IAM.
Temas
Acciones definidas por AWS Storage Gateway
Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.
La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el elemento Resource de una política de IAM, debe incluir un ARN o patrón para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.
La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.
nota
Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.
Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.
| Acciones | Descripción | Nivel de acceso | Tipos de recursos (*necesarios) | Claves de condición | Acciones dependientes |
|---|---|---|---|---|---|
| ActivateGateway | Otorga permiso para activar la gateway implementada anteriormente en el host. | Write | |||
| AddCache | Otorga permiso para configurar uno o varios discos locales de gateway como caché para un gateway de volumen en caché. | Write | |||
| AddTagsToResource | Otorga permiso para agregar una o más etiquetas al recurso especificado. | Etiquetado | |||
| AddUploadBuffer | Otorga permiso para configurar uno o varios discos locales de gateway como búfer de carga para una gateway determinada. | Write | |||
| AddWorkingStorage | Otorga permiso para configurar uno o varios discos locales de gateway como almacén de trabajo para una gateway. | Write | |||
| AssignTapePool | Otorga permiso para mover una cinta al grupo de destino especificado | Write | |||
| AssociateFileSystem | Otorga permiso para asociar un sistema de archivos de Amazon FSx con la gateway de archivos de Amazon FSx | Write |
ds:DescribeDirectories ec2:DescribeNetworkInterfaces fsx:DescribeFileSystems iam:CreateServiceLinkedRole logs:CreateLogDelivery logs:GetLogDelivery logs:ListLogDeliveries logs:UpdateLogDelivery |
||
| AttachVolume | Otorga permiso para conectar un volumen a una conexión iSCSI y, a continuación, asocia el volumen a la gateway especificada. | Write | |||
| BypassGovernanceRetention | Otorga permiso para permitir que se omita el bloqueo de retención de gobierno en un grupo | Write | |||
| CancelArchival | Otorga permiso para cancelar el archivado de una cinta virtual en la estantería de cintas virtuales (VTS) después de que se inicie el proceso de archivado. | Write | |||
| CancelRetrieval | Otorga permiso para cancelar la recuperación de una cinta virtual de la estantería de cintas virtuales (VTS) en una gateway después de que se inicie el proceso de recuperación. | Write | |||
| CreateCachediSCSIVolume | Otorga permiso para crear un volumen en caché en una gateway especificada en la memoria caché. Esta operación solo se admite en la arquitectura de volúmenes en caché de gateway. | Write | |||
| CreateNFSFileShare | Otorga permiso para crear un recurso compartido de archivos NFS en una gateway de archivos existente. | Write | |||
| CreateSMBFileShare | Otorga permiso para crear un recurso compartido de archivos SMB en una gateway de archivos existente. | Write | |||
| CreateSnapshot | Otorga permiso para comenzar una instantánea de un volumen. | Write | |||
| CreateSnapshotFromVolumeRecoveryPoint | Otorga permiso para comenzar una instantánea de una gateway desde un punto de recuperación de volumen. | Write | |||
| CreateStorediSCSIVolume | Otorga permiso para crear un volumen en una gateway especificada. | Write | |||
| CreateTapePool | Otorga permiso para crear un grupo de cintas. | Write | |||
| CreateTapeWithBarcode | Otorga permiso para crear una cinta virtual con su código de barras. | Write | |||
| CreateTapes | Otorga permiso para crear una o varias cintas virtuales. Puede escribir datos en las cintas virtuales y después archivarlas. | Write | |||
| DeleteAutomaticTapeCreationPolicy | Otorga permiso para eliminar la política de creación automática de cintas configurada en una VTL de gateway | Write | |||
| DeleteBandwidthRateLimit | Otorga permiso para eliminar los límites de ancho de banda de una gateway. | Write | |||
| DeleteChapCredentials | Otorga permiso para eliminar las credenciales del protocolo CHAP (Challenge-Handshake Authentication Protocol, Protocolo de autenticación por desafío mutuo) para un destino iSCSI y par de iniciadores especificados. | Write | |||
| DeleteFileShare | Otorga permiso para eliminar un recurso compartido de archivos de una gateway de archivos. | Write | |||
| DeleteGateway | Concede permiso para eliminar una puerta de enlace | Write | |||
| DeleteSnapshotSchedule | Otorga permiso para eliminar una instantánea de un volumen. | Write | |||
| DeleteTape | Otorga permiso para eliminar la cinta virtual especificada. | Write | |||
| DeleteTapeArchive | Otorga permiso para eliminar la cinta virtual especificada de la estantería de cintas virtuales (VTS). | Write | |||
| DeleteTapePool | Otorga permiso para eliminar el grupo de cintas especificado. | Write | |||
| DeleteVolume | Otorga permiso para eliminar el volumen de gateway especificado que ha creado anteriormente mediante CreateCachediSCSIVolume o CreateStorediSCSIVolume API. | Write | |||
| DescribeAvailabilityMonitorTest | Otorga permiso para obtener la información acerca de la prueba de monitoreo de alta disponibilidad más reciente que se realizó en la gateway. | Read | |||
| DescribeBandwidthRateLimit | Otorga permiso para obtener los límites de ancho de banda de una gateway. | Read | |||
| DescribeBandwidthRateLimitSchedule | Otorga permiso para obtener la programación de los límites de ancho de banda de una gateway. | Read | |||
| DescribeCache | Otorga permiso para obtener información sobre la caché de una gateway. Esta operación solo se admite en la arquitectura de volúmenes en caché de gateway. | Read | |||
| DescribeCachediSCSIVolumes | Otorga permiso para obtener una descripción de los volúmenes de gateway especificados en la solicitud. Esta operación solo se admite en la arquitectura de volúmenes en caché de gateway. | Read | |||
| DescribeChapCredentials | Otorga permiso para obtener una matriz de información de credenciales del protocolo de autenticación por desafío mutuo (CHAP, Challenge-Handshake Authentication Protocol) para un destino iSCSI, uno por cada par de iniciadores de destino. | Read | |||
| DescribeFileSystemAssociations | Otorga permiso para obtener una descripción de una o varias asociaciones de sistema de archivos | Read | |||
| DescribeGatewayInformation | Otorga permiso para activar obtener los metadatos de una gateway; por ejemplo, su nombre, las interfaces de red, la zona horaria configurada y el estado (si la gateway se está ejecutando o no). | Read | |||
| DescribeMaintenanceStartTime | Otorga permiso para obtener la hora de inicio de mantenimiento semanal de la gateway, incluido el día y la hora de la semana. | Read | |||
| DescribeNFSFileShares | Otorga permiso para obtener una descripción de uno o más recursos compartidos de archivos de una gateway de archivos. | Read | |||
| DescribeSMBFileShares | Otorga permiso para obtener una descripción de uno o más recursos compartidos de archivos de una gateway de archivos. | Read | |||
| DescribeSMBSettings | Otorga permiso para obtener una descripción de una configuración de recurso compartido de archivos de bloque de mensajes del servidor (SMB) de una gateway de archivos. | Read | |||
| DescribeSnapshotSchedule | Otorga permiso para describir el programa de instantáneas para el volumen de gateway especificado. | Read | |||
| DescribeStorediSCSIVolumes | Otorga permiso para obtener la descripción de los volúmenes de gateway especificados en la solicitud. | Read | |||
| DescribeTapeArchives | Otorga permiso para obtener una descripción de cintas virtuales especificadas en la estantería de cintas virtuales (VTS). | Read | |||
| DescribeTapeRecoveryPoints | Otorga permiso para obtener una lista de puntos de recuperación de cintas virtuales que están disponibles para la VTL de gateway especificada. | Read | |||
| DescribeTapes | Otorga permiso para obtener una descripción del nombre de recurso de Amazon (ARN) especificado de las cintas virtuales. | Read | |||
| DescribeUploadBuffer | Otorga permiso para obtener información acerca del búfer de carga de una gateway. | Read | |||
| DescribeVTLDevices | Otorga permiso para obtener una descripción de los dispositivos de biblioteca de cintas virtuales (VTL) de la gateway especificada. | Read | |||
| DescribeWorkingStorage | Otorga permiso para obtener información acerca del almacén de trabajo de una gateway. | Read | |||
| DetachVolume | Otorga permiso para desconectar un volumen de una conexión iSCSI y, a continuación, separa el volumen de la gateway especificada. | Write | |||
| DisableGateway | Otorga permiso para desactivar una gateway cuando ya no está funcionando. | Write | |||
| DisassociateFileSystem | Otorga permiso para desasociar un sistema de archivos de Amazon FSx de una gateway de archivos de Amazon FSx | Write | |||
| JoinDomain | Otorga permiso para permitirle unirse a un dominio de Active Directory. | Escritura | |||
| ListAutomaticTapeCreationPolicies | Otorga permiso para enumerar las políticas de creación automática de cintas configuradas en la VTL de la puerta de enlace especificada o en todas las puertas de enlace-VTL propiedad de su Cuenta de AWS | Enumeración | |||
| ListFileShares | Otorga permiso para obtener una lista de recursos compartidos de archivos para una puerta de enlace de archivos específica, o la lista de recursos compartidos de archivos propiedad de su Cuenta de AWS | Enumeración | |||
| ListFileSystemAssociations | Otorga permiso para obtener una lista de las asociaciones del sistema de archivos para la gateway especificada | List | |||
| ListGateways | Otorga permiso para enumerar las gateways de propiedad de una Cuenta de AWS en una región especificada en la solicitud. La lista devuelta se ordena por el nombre de recurso de Amazon (ARN) de la gateway. | List | |||
| ListLocalDisks | Otorga permiso para obtener una lista de los discos locales de la gateway. | List | |||
| ListTagsForResource | Otorga permiso para obtener las etiquetas que se han agregado al recurso especificado. | List | |||
| ListTapePools | Otorga permiso para enumerar los grupos de cintas de propiedad de su Cuenta de AWS | List | |||
| ListTapes | Otorga permiso para enumerar las cintas virtuales de la biblioteca de cintas virtuales (VTL) y la estantería de cintas virtuales (VTS). | List | |||
| ListVolumeInitiators | Otorga permiso para enumerar los iniciadores iSCSI conectados a un volumen. | List | |||
| ListVolumeRecoveryPoints | Otorga permiso para enumerar los puntos de recuperación de una gateway especificada. | List | |||
| ListVolumes | Otorga permiso para enumerar los volúmenes almacenados iSCSI de una gateway. | List | |||
| NotifyWhenUploaded | Otorga permiso para enviar una notificación a través de CloudWatch Events cuando todos los archivos escritos en su recurso compartido de archivos NFS se han cargado en Amazon S3. | Write | |||
| RefreshCache | Otorga permiso para actualizar la caché del recurso de archivos compartido. | Write | |||
| RemoveTagsFromResource | Otorga permiso para eliminar una o más etiquetas del recurso especificado. | Etiquetado | |||
| ResetCache | Otorga permiso para restablecer todos los discos de caché que han tenido un error y los deja listos para reconfiguración como almacenamiento en caché. | Write | |||
| RetrieveTapeArchive | Otorga permiso para recuperar una cinta virtual archivada de la estantería de cintas virtuales (VTS) de una VTL de gateway. | Write | |||
| RetrieveTapeRecoveryPoint | Otorga permiso para recuperar el punto de recuperación para la cinta virtual especificada. | Write | |||
| SetLocalConsolePassword | Otorga permiso para establecer la contraseña de la consola local de la máquina virtual. | Write | |||
| SetSMBGuestPassword | Otorga permiso para establecer la contraseña del usuario invitado SMB. | Write | |||
| ShutdownGateway | Otorga permiso para cerrar una puerta de enlace. | Write | |||
| StartAvailabilityMonitorTest | Otorga permiso para iniciar una prueba que compruebe que la gateway especificada está configurada para el monitoreo de alta disponibilidad en el entorno de host. | Write | |||
| StartGateway | Otorga permiso para iniciar una gateway que había cerrado previamente. | Write | |||
| UpdateAutomaticTapeCreationPolicy | Otorga permiso para actualizar la política de creación automática de cintas configurada en una VTL de gateway | Write | |||
| UpdateBandwidthRateLimit | Otorga permiso para actualizar los límites de ancho de banda de una gateway. | Write | |||
| UpdateBandwidthRateLimitSchedule | Otorga permiso para actualizar la programación de los límites de ancho de banda de una gateway. | Write | |||
| UpdateChapCredentials | Otorga permiso para actualizar las credenciales del protocolo de autenticación por desafío mutuo (CHAP, Challenge-Handshake Authentication Protocol) para un destino iSCSI especificado. | Write | |||
| UpdateFileSystemAssociation | Otorga permiso para actualizar una asociación de sistema de archivos | Write |
logs:CreateLogDelivery logs:DeleteLogDelivery logs:GetLogDelivery logs:ListLogDeliveries logs:UpdateLogDelivery |
||
| UpdateGatewayInformation | Otorga permiso para actualizar los metadatos de una gateway, que incluyen el nombre y la zona horaria de la gateway. | Write | |||
| UpdateGatewaySoftwareNow | Otorga permiso para actualizar el software de máquina virtual (VM) de la gateway. | Write | |||
| UpdateMaintenanceStartTime | Otorga permiso para actualizar la información sobre la hora de inicio de mantenimiento semanal de la gateway, incluido la hora y el día de la semana. La hora de mantenimiento es la hora de la zona horaria de la gateway. | Write | |||
| UpdateNFSFileShare | Otorga permiso para actualizar un recurso compartido de archivos NFS. | Write | |||
| UpdateSMBFileShare | Otorga permiso para actualizar un recurso compartido de archivos SMB. | Write | |||
| UpdateSMBFileShareVisibility | Otorga permiso para actualizar si los recursos compartidos de una gateway son visibles en una vista de red o lista de exploración. | Escritura | |||
| UpdateSMBLocalGroups | Otorga permiso para actualizar la lista de usuarios y grupos de Active Directory que cuentan con permisos especiales para los recursos compartidos de archivos SMB en la puerta de enlace | Escritura | |||
| UpdateSMBSecurityStrategy | Otorga permiso para actualizar la estrategia de seguridad SMB en una gateway de archivos. | Write | |||
| UpdateSnapshotSchedule | Otorga permiso para actualizar un programa de instantáneas configurado para un volumen de gateway. | Write | |||
| UpdateVTLDeviceType | Otorga permiso para actualizar el tipo de cambiador de medios en una VTL de gateway. | Escritura |
Tipos de recurso definidos por AWS Storage Gateway
Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.
| Tipos de recurso | ARN | Claves de condición |
|---|---|---|
| device |
arn:${Partition}:storagegateway:${Region}:${Account}:gateway/${GatewayId}/device/${Vtldevice}
|
|
| fs-association |
arn:${Partition}:storagegateway:${Region}:${Account}:fs-association/${FsaId}
|
|
| gateway |
arn:${Partition}:storagegateway:${Region}:${Account}:gateway/${GatewayId}
|
|
| share |
arn:${Partition}:storagegateway:${Region}:${Account}:share/${ShareId}
|
|
| tape |
arn:${Partition}:storagegateway:${Region}:${Account}:tape/${TapeBarcode}
|
|
| tapepool |
arn:${Partition}:storagegateway:${Region}:${Account}:tapepool/${PoolId}
|
|
| target |
arn:${Partition}:storagegateway:${Region}:${Account}:gateway/${GatewayId}/target/${IscsiTarget}
|
|
| volume |
arn:${Partition}:storagegateway:${Region}:${Account}:gateway/${GatewayId}/volume/${VolumeId}
|
Claves de condición de AWS Storage Gateway
AWS Storage Gateway define las siguientes claves de condición que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Claves de condición.
Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.
| Claves de condición | Descripción | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra el acceso por el conjunto de valores permitidos para cada una de las etiquetas. | Cadena |
| aws:ResourceTag/${TagKey} | Filtra el acceso según el valor-etiqueta asociado con el recurso | Cadena |
| aws:TagKeys | Filtra el acceso por la presencia de etiquetas obligatorias en la solicitud | ArrayOfString |
