Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de políticas basadas en identidades (políticas de IAM) para AWS Snowball
Este tema ofrece ejemplos de políticas basadas en identidades que muestran cómo un administrador de cuentas puede asociar políticas de permisos a identidades de IAM (es decir, usuarios, grupos y roles). Estas políticas conceden permisos para realizar operaciones en recursos de AWS Snowball en la Nube de AWS.
importante
Le recomendamos que consulte primero los temas de introducción en los que se explican los conceptos básicos y las opciones disponibles para administrar el acceso a sus recursos de AWS Snowball. Para obtener más información, consulte Información general sobre la administración de los permisos de acceso a los recursos de la Nube de AWS.
En las secciones de este tema se explica lo siguiente:
A continuación se muestra un ejemplo de una política de permisos.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*", "importexport:*" ], "Resource": "*" } ] }
La política tiene dos instrucciones:
-
La primera instrucción concede permisos para tres acciones de Amazon S3 (
s3:GetBucketLocation,s3:GetObjectys3:ListBucket) en todos los buckets de Amazon S3 que utilizan el nombre de recurso de Amazon (ARN) dearn:aws:s3:::*. El ARN especifica un carácter comodín (*), por lo que el usuario puede elegir cualquiera de los buckets de Amazon S3 o todos ellos desde los que exportar datos. -
La segunda instrucción concede permisos para todas las acciones de AWS Snowball. Dado que estas acciones no admiten permisos de nivel de recursos, la política especifica el carácter comodín (*) y el valor
Resourcetambién especifica un comodín.
La política no especifica el elemento Principal, ya que en una política basada en identidades no se especifica la entidad principal que obtiene el permiso. Al asociar una política a un usuario, el usuario es la entidad principal implícita. Cuando se asocia una política de permisos a un rol de IAM, la entidad principal identificada en la política de confianza del rol obtiene los permisos.
Para ver una tabla con todas las acciones de la API de administración de trabajos de AWS Snowball y los recursos a los que se aplican, consulte Permisos de la API de AWS Snowball: información acerca de acciones, recursos y condiciones.
Permisos necesarios para usar la consola de AWS Snowball
La tabla de referencia de los permisos muestra las operaciones de API de administración de trabajos de AWS Snowball e indica los permisos necesarios para cada operación. Para obtener más información sobre las operaciones de API de administración de trabajos, consulte Permisos de la API de AWS Snowball: información acerca de acciones, recursos y condiciones.
Para usar la Consola de administración de la familia de productos Snow de AWS, debe conceder permisos para realizar acciones adicionales, tal y como se muestra en la política de permisos siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetBucketPolicy", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListAllMyBuckets" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "lambda:GetFunction", "lambda:GetFunctionConfiguration" ], "Resource": "arn:aws:lambda:*::function:*" }, { "Effect": "Allow", "Action": [ "lambda:ListFunctions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:GenerateDataKey", "kms:Decrypt", "kms:Encrypt", "kms:RetireGrant", "kms:ListKeys", "kms:DescribeKey", "kms:ListAliases" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreatePolicy", "iam:CreateRole", "iam:ListRoles", "iam:ListRolePolicies", "iam:PutRolePolicy" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "importexport.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:ModifyImageAttribute" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:ListTopics", "sns:GetTopicAttributes", "sns:SetTopicAttributes", "sns:ListSubscriptionsByTopic", "sns:Subscribe" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "greengrass:getServiceRoleForAccount" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] } ] }
La consola de AWS Snowball necesita estos permisos adicionales por las siguientes razones:
-
ec2:: permite al usuario describir instancias compatibles con Amazon EC2 y modificar sus atributos con fines de computación local. Para obtener más información, consulte Uso de instancias de computación compatibles con Amazon EC2. -
kms:: el usuario puede crear o elegir la clave de KMS que cifrará sus datos. Para obtener más información, consulte AWS Key Management Service en AWS Snowball Edge. -
iam:: el usuario puede crear o elegir un ARN para el rol de IAM que AWS Snowball asumirá para obtener acceso a los recursos de AWS asociados a la creación y el procesamiento de los trabajos. -
sns:: el usuario puede crear o elegir las notificaciones de Amazon SNS para los trabajos que crea. Para obtener más información, consulte Notificaciones para dispositivos Snow Family.
