Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de políticas basadas en la identidad (políticas) IAM para AWS Snowball
En este tema se proporcionan ejemplos de políticas basadas en la identidad que demuestran cómo un administrador de cuentas puede adjuntar políticas de permisos a las IAM identidades (es decir, a los usuarios, grupos y funciones). Por lo tanto, estas políticas otorgan permisos para realizar operaciones en AWS Snowball los recursos de. Nube de AWS
importante
Le recomendamos que consulte primero los temas de introducción en los que se explican los conceptos básicos y las opciones disponibles para administrar el acceso a sus recursos de AWS Snowball . Para obtener más información, consulte Descripción general de la gestión de los permisos de acceso a sus recursos en el Nube de AWS.
En las secciones de este tema se explica lo siguiente:
A continuación se muestra un ejemplo de una política de permisos.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*", "importexport:*" ], "Resource": "*" } ] }
La política tiene dos instrucciones:
-
La primera declaración concede permisos para tres acciones de Amazon S3 (
s3:GetBucketLocation
s3:GetObject
, ys3:ListBucket
) en todos los buckets de Amazon S3 que utilicen el nombre de recurso de Amazon (ARN) dearn:aws:s3:::*
. ARNEspecifica un carácter comodín (*) para que el usuario pueda elegir uno o todos los buckets de Amazon S3 desde los que exportar los datos. -
La segunda declaración otorga permisos para todas las AWS Snowball acciones. Dado que estas acciones no admiten permisos de nivel de recursos, la política especifica el carácter comodín (*) y el valor
Resource
también especifica un comodín.
La política no especifica el elemento Principal
, ya que en una política basada en identidades no se especifica la entidad principal que obtiene el permiso. Al asociar una política a un usuario, el usuario es la entidad principal implícita. Al adjuntar una política de permisos a un IAM rol, el principal identificado en la política de confianza del rol obtiene los permisos.
Para ver una tabla que muestra todas las API acciones de administración de AWS Snowball trabajos y los recursos a los que se aplican, consulteAWS Snowball APIReferencia de permisos: acciones, recursos y condiciones.
Permisos necesarios para usar la AWS Snowball consola
La tabla de referencia de permisos enumera las API operaciones de administración de AWS Snowball trabajos y muestra los permisos necesarios para cada operación. Para obtener más información sobre API las operaciones de administración de trabajos, consulteAWS Snowball APIReferencia de permisos: acciones, recursos y condiciones.
Para utilizarla Consola de administración de la familia de productos Snow de AWS, debe conceder permisos para realizar acciones adicionales, tal y como se muestra en la siguiente política de permisos:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetBucketPolicy", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListAllMyBuckets" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "lambda:GetFunction", "lambda:GetFunctionConfiguration" ], "Resource": "arn:aws:lambda:*::function:*" }, { "Effect": "Allow", "Action": [ "lambda:ListFunctions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:GenerateDataKey", "kms:Decrypt", "kms:Encrypt", "kms:RetireGrant", "kms:ListKeys", "kms:DescribeKey", "kms:ListAliases" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreatePolicy", "iam:CreateRole", "iam:ListRoles", "iam:ListRolePolicies", "iam:PutRolePolicy" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "importexport.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:ModifyImageAttribute" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:ListTopics", "sns:GetTopicAttributes", "sns:SetTopicAttributes", "sns:ListSubscriptionsByTopic", "sns:Subscribe" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "greengrass:getServiceRoleForAccount" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] } ] }
La AWS Snowball consola necesita estos permisos adicionales por los siguientes motivos:
-
ec2:
— Permiten al usuario describir las instancias EC2 compatibles con Amazon y modificar sus atributos con fines informáticos locales. Para obtener más información, consulte Uso de instancias EC2 informáticas compatibles con Amazon en dispositivos de la familia Snow. -
kms:
— Permiten al usuario crear o elegir la KMS clave que cifrará sus datos. Para obtener más información, consulte AWS Key Management Service en Edge AWS Snowball. -
iam:
— Permiten al usuario crear o elegir un IAM rol ARN que AWS Snowball asumirá para acceder a los AWS recursos asociados a la creación y procesamiento de empleos. -
sns:
— Permiten al usuario crear o elegir las SNS notificaciones de Amazon para los trabajos que cree. Para obtener más información, consulte Notificaciones para dispositivos Snow Family.