Uso local de IAM - Guía para desarrolladores de AWS Snowball Edge
Uso de las operaciones AWS CLI y de la APIComandos de IAM AWS CLI compatibles Ejemplos de política de IAMTrustPolicyEjemplo

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso local de IAM

AWS Identity and Access Management(IAM) le ayuda a controlar de forma segura el acceso a AWS los recursos que se ejecutan en su AWS Snowball Edge dispositivo. Utilice IAM; para controlar quién está autenticado (ha iniciado sesión) y autorizado (tiene permisos) para utilizar recursos.

El dispositivo admite IAM de forma local. Puede utilizar el servicio de IAM local para crear nuevos usuarios y adjuntarles políticas de IAM. Puede utilizar estas políticas para permitir el acceso necesario para realizar tareas asignadas. Por ejemplo, puede dar a un usuario la posibilidad de transferir datos, pero limitar su capacidad de crear nuevas instancias compatibles con Amazon EC2.

Además, puede crear credenciales locales basadas en sesión utilizando AWS Security Token Service (AWS STS) en su dispositivo. Para obtener información sobre el servicio de IAM, consulte Introducción en la Guía del usuario de IAM.

Las credenciales raíz de tu dispositivo no se pueden deshabilitar ni puedes usar las políticas de tu cuenta para denegar explícitamente el acceso al usuario Cuenta de AWS raíz. Le recomendamos que proteja sus claves de acceso de usuario raíz y cree credenciales de usuario de IAM para la interacción diaria con el dispositivo.

importante

La documentación de esta sección se aplica al uso de IAM localmente en un dispositivo AWS Snowball Edge. Para obtener información sobre el uso de IAM enNube de AWS, consulteAdministración de identidad y acceso en AWS Snowball.

Para que AWS los servicios funcionen correctamente en un Snowball Edge, debe permitir los puertos de los servicios. Para obtener más información, consulte Puertos necesarios para usarAWS los servicios en un dispositivoAWS Snowball periférico.

Uso de las operaciones AWS CLI y de la API en Snowball Edge

Al utilizar las operaciones AWS CLI o de la API para emitir los comandos IAMAWS STS, Amazon S3 y Amazon EC2 en Snowball Edge, debe especificarlos region como «». snow Puede hacerlo utilizando aws configure o dentro del propio comando, como en los ejemplos siguientes.


aws configure --profile abc
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: 1234567
Default region name [None]: snow
Default output format [None]: json

O bien


aws iam list-users --profile snowballEdge --endpoint http://192.0.2.0:6078 --region snow
nota

El ID de la clave de acceso y la clave secreta de acceso que se utilizan localmente en AWS Snowball Edge no se pueden intercambiar con las claves delNube de AWS.

Lista de AWS CLI comandos de IAM compatibles en Snowball Edge

A continuación se describe el subconjunto de AWS CLI comandos y opciones de IAM compatibles con los dispositivos Snowball Edge. Si un comando o una opción no aparece en la lista siguiente, no está admitido. Los parámetros no compatibles para los comandos se anotan en la descripción.

  • attach-role-policy— Adjunta la política gestionada especificada al rol de IAM especificado.

  • attach-user-policy— Adjunta la política gestionada especificada al usuario especificado.

  • create-access-key— Crea una nueva clave de acceso secreta de IAM local y el ID de clave de AWS acceso correspondiente para el usuario especificado.

  • create-policy: crea una nueva política gestionada de IAM para su dispositivo.

  • create-role: crea una nueva función de IAM local para el dispositivo. Los siguientes parámetros no son compatibles.

    • Tags

    • PermissionsBoundary

  • create-user: crea un nuevo usuario de IAM local para su dispositivo. Los siguientes parámetros no son compatibles.

    • Tags

    • PermissionsBoundary

  • delete-access-key— Elimina una nueva clave de acceso secreta de IAM local y el ID de clave de AWS acceso correspondiente para el usuario especificado.

  • delete-policy: elimina la política gestionada especificada.

  • delete-role: elimina el rol especificado.

  • delete-user: elimina el usuario especificado.

  • detach-role-policy— Elimina la política gestionada especificada del rol especificado.

  • detach-user-policy— Elimina la política gestionada especificada del usuario especificado.

  • get-policy: recupera información sobre la política administrada especificada, incluida la versión predeterminada de la política y el número total de usuarios, grupos y roles de IAM locales a los que está asociada la política.

  • get-policy-version— Recupera información sobre la versión especificada de la política gestionada especificada, incluido el documento de política.

  • get-role: recupera información sobre el rol especificado, incluida la ruta del rol, el GUID, el ARN y la política de confianza del rol que otorga permiso para asumirlo.

  • get-user: recupera información sobre el usuario de IAM especificado, incluida la fecha de creación, la ruta, el identificador único y el ARN del usuario.

  • list-access-keys— Devuelve información sobre los identificadores de clave de acceso asociados al usuario de IAM especificado.

  • list-attached-role-policies— Muestra todas las políticas gestionadas que están asociadas a la función de IAM especificada.

  • list-attached-user-policies— Muestra todas las políticas gestionadas que están asociadas al usuario de IAM especificado.

  • list-entities-for-policy— Muestra todos los usuarios, grupos y roles de IAM locales a los que está asociada la política gestionada especificada.

    • --EntityFilter: solo los valores user y role son compatibles.

  • list-policies: enumera todas las políticas administradas que están disponibles en su localidad. Cuenta de AWS El siguiente parámetro no es compatible.

    • --PolicyUsageFilter

  • list-roles: muestra los roles de IAM locales que tienen el prefijo de ruta especificado.

  • list-users: muestra los usuarios de IAM que tienen el prefijo de ruta especificado.

  • update-access-key— Cambia el estado de la clave de acceso especificada de Activa a Inactiva o viceversa.

  • update-assume-role-policy— Actualiza la política que otorga permiso a una entidad de IAM para asumir un rol.

  • update-role: actualiza la descripción o la configuración de duración máxima de la sesión de un rol.

  • update-user: actualiza el nombre o la ruta del usuario de IAM especificado.

Operaciones de API de IAM compatibles

A continuación se muestran las operaciones de la API de IAM que puedes usar con Snowball Edge, con enlaces a sus descripciones en la referencia de la API de IAM.

  • AttachRolePolicy— Adjunta la política gestionada especificada al rol de IAM especificado.

  • AttachUserPolicy— Adjunta la política gestionada especificada al usuario especificado.

  • CreateAccessKey— Crea una nueva clave de acceso secreta de IAM local y el ID de clave de AWS acceso correspondiente para el usuario especificado.

  • CreatePolicy— Crea una nueva política de gestión de IAM para su dispositivo.

  • CreateRole— Crea un nuevo rol de IAM local para el dispositivo.

  • CreateUser— Crea un nuevo usuario de IAM local para su dispositivo.

    Los siguientes parámetros no son compatibles.

    • Tags

    • PermissionsBoundary

  • DeleteAccessKey— Elimina la clave de acceso especificada.

  • DeletePolicy— Elimina la política gestionada especificada.

  • DeleteRole— Elimina el rol especificado.

  • DeleteUser— Elimina el usuario especificado.

  • DetachRolePolicy— Elimina la política gestionada especificada del rol especificado.

  • DetachUserPolicy— Elimina la política gestionada especificada del usuario especificado.

  • GetPolicy— Recupera información sobre la política gestionada especificada, incluida la versión predeterminada de la política y el número total de usuarios, grupos y roles de IAM locales a los que está asociada la política.

  • GetPolicyVersion— Recupera información sobre la versión especificada de la política gestionada especificada, incluido el documento de política.

  • GetRole— Recupera información sobre el rol especificado, incluida la ruta del rol, el GUID, el ARN y la política de confianza del rol que otorga permiso para asumirlo.

  • GetUser— Recupera información sobre el usuario de IAM especificado, incluida la fecha de creación, la ruta, el ID único y el ARN del usuario.

  • ListAccessKeys— Devuelve información sobre los identificadores de clave de acceso asociados al usuario de IAM especificado.

  • ListAttachedRolePolicies— Muestra todas las políticas gestionadas que están asociadas a la función de IAM especificada.

  • ListAttachedUserPolicies— Muestra todas las políticas gestionadas que están asociadas al usuario de IAM especificado.

  • ListEntitiesForPolicy— Recupera información sobre el usuario de IAM especificado, incluida la fecha de creación, la ruta, el ID único y el ARN del usuario.

    • --EntityFilter: solo los valores user y role son compatibles.

  • ListPolicies— Muestra todas las políticas gestionadas que están disponibles en su localidadCuenta de AWS. El siguiente parámetro no es compatible.

    • --PolicyUsageFilter

  • ListRoles— Muestra las funciones de IAM locales que tienen el prefijo de ruta especificado.

  • ListUsers— Muestra los usuarios de IAM que tienen el prefijo de ruta especificado.

  • UpdateAccessKey— Cambia el estado de la clave de acceso especificada de Activa a Inactiva o viceversa.

  • UpdateAssumeRolePolicy— Actualiza la política que otorga permiso a una entidad de IAM para asumir un rol.

  • UpdateRole— Actualiza la descripción o la configuración de duración máxima de la sesión de un rol.

  • UpdateUser— Actualiza el nombre o la ruta del usuario de IAM especificado.

Compatibilidad de versión y gramática de la política de IAM

A continuación se presenta la versión local compatible de IAM 2012-10-17 de la política de IAM y un subconjunto de la gramática de políticas.

Tipo de política Gramática compatible
políticas basadas en la identidad (política de usuario/función) "Effect", "Action" y "Resource"
nota

IAM local no compatible con "Condition", "NotAction", "NotResource" y "Principal".

Políticas basadas en recursos (política de confianza de roles) "Effect", "Action" y "Principal"
nota

Para el director, solo se permite el Cuenta de AWS ID o el ID principal.

Ejemplos de política de IAM

nota

AWS Identity and Access ManagementLos usuarios (IAM) necesitan "snowballdevice:*" permisos para usar la AWS OpsHub for Snow Familyaplicación a fin de administrar los dispositivos de la familia Snow.

Los siguientes son ejemplos de políticas que otorgan permisos a un dispositivo Snowball Edge.

Ejemplo 1: Permite GetUser llamar a un usuario de muestra a través de la API de IAM

Utilice la siguiente política para permitir la GetUser llamada a un usuario de ejemplo a través de la API de IAM.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "iam:GetUser",
            "Resource": "arn:aws:iam:::user/example-user"
        }
    ]
}

Ejemplo 2: Permite el acceso completo a la API de Amazon S3

Utilice la siguiente política para permitir el acceso completo a la API de Amazon S3.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": "*"
            
        }
    ]
}

Ejemplo 3: Permite el acceso de lectura y escritura a un bucket específico de Amazon S3

Utilice la siguiente política para permitir el acceso de lectura y escritura a un bucket específico.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::bucket-name"
        },
        {
            "Sid": "AllObjectActions",
            "Effect": "Allow",
            "Action": "s3:*Object",
            "Resource": "arn:aws:s3:::bucket-name/*"
        }
    ]
}

Ejemplo 4: Permite listar, obtener y poner el acceso a un bucket específico de Amazon S3

Utilice la siguiente política para permitir el acceso a Listas, Get y Put a un bucket de S3 específico.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:List*"
            ],
            "Resource": "arn:aws:s3:::examplebucket/*"
        }
    ]
}

Ejemplo 5: Permite el acceso completo a la API de Amazon EC2

Utilice la siguiente política para permitir el acceso completo a Amazon EC2.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:*",
            "Resource": "*"
        }
    ]
}

Ejemplo 6: Permite el acceso para iniciar y detener instancias compatibles con Amazon EC2

Utilice la siguiente política para permitir el acceso para iniciar y detener las instancias de Amazon EC2.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*"
        }
    ]
}

Ejemplo 7: Denega las llamadas a DescribeLaunchTemplates pero permite todas las llamadas a DescribeImages

Utilice la siguiente política para denegar las llamadas DescribeLaunchTemplates pero permita todas las llamadas a DescribeImages.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ec2:DescribeLaunchTemplates"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages"
            ],
            "Resource": "*"
        }
    ]
}

Ejemplo 8: Política de llamadas a la API

Muestra todas las políticas gestionadas que están disponibles en su dispositivo Snow, incluidas sus propias políticas gestionadas definidas por el cliente. Más detalles en las políticas de la lista.

aws iam list-policies --endpoint http://ip-address:6078 --profile snowballEdge --region snow
{
    "Policies": [
        {
            "PolicyName": "Administrator",
            "Description": "Root user admin policy for Account 123456789012",
            "CreateDate": "2020-03-04T17:44:59.412Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "policy-id",
            "DefaultVersionId": "v1",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:policy/Administrator",
            "UpdateDate": "2020-03-04T19:10:45.620Z"
        }
    ]
}

TrustPolicyEjemplo

Una política de confianza devuelve un conjunto de credenciales de seguridad temporales que puede utilizar para acceder a AWS recursos a los que normalmente no tendría acceso. Las credenciales temporales incluyen un ID de clave de acceso, una clave de acceso secreta y un token de seguridad. Normalmente, se utiliza AssumeRole en la cuenta para el acceso entre cuentas.

A continuación, se muestra un ejemplo de una política de confianza. Para obtener más información sobre la política de confianza, consulte AssumeRolela referencia AWS Security Token Service de la API.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::AccountId:root" //You can use the Principal ID instead of the account ID. 
                ]
            },
            "Action": [
                "sts:AssumeRole"
            ]
        }
    ]
}