Utilisation des stratégies basées sur l'identité (politiques IAM) pour DataSync - AWS DataSync

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation des stratégies basées sur l'identité (politiques IAM) pour DataSync

Un administrateur de compte peut associer des stratégies basées sur l'identité àAWS Identity and Access Management(IAM) identités (c'est-à-dire des utilisateurs, des groupes et des rôles). Vous pouvez également associer des stratégies basées sur l'identité aux rôles de service.

Cette rubrique fournit des exemples de stratégie basée sur l'identité que vous pouvez utiliser pour accorder des autorisations aux identités IAM.

Important

Nous vous recommandons tout d'abord d'examiner les rubriques de présentation qui détaillent les concepts de base et les options disponibles pour gérer l'accès à votre DataSync AWS. Pour plus d'informations, consultez Présentation de la gestion des autorisations d'accès pour DataSync.

Les sections de cette rubrique couvrent les sujets suivants :

Voici un exemple de stratégie qui accorde à les autorisations nécessaires pour utiliser certains DataSync actions.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsSpecifiedActionsOnAllTasks", "Effect": "Allow", "Action": [ "datasync:DescribeTask", "datasync:ListTasks" ], "Resource": "arn:aws:datasync:us-east-2:111222333444:task/*" }, }

La stratégie comporte une instruction (notez queActionetResourceéléments de l'instruction) qui effectue les opérations suivantes :

  • L'instruction accorde à les autorisations pour effectuer deux DataSync actions (datasync:DescribeTasketdatasync:ListTasks) sur certaines ressources de tâches à l'aide d'unAmazon Resource Name (ARN).

  • Dans cette instruction, l'ARN de la tâche spécifie un caractère générique (*), parce que l'utilisateur, le groupe ou le rôle IAM est autorisé à effectuer les deux actions sur toutes les tâches. Pour limiter les autorisations aux actions d'une tâche particulière, spécifiez l'ID de la tâche dans l'ARN au lieu du caractère générique.

Politiques AWS gérées pour DataSync

AWScrée et administre des stratégies IAM autonomes. Ces stratégies gérées octroient des autorisations dans les cas d'utilisation courants pour que vous évitiez d'avoir à réfléchir aux autorisations dont vous avez besoin. Pour plus d'informations, consultez la rubrique Politiques gérées par AWS dans le Guide de l'utilisateur IAM.

Les politiques gérées créées parAWSaccorder les autorisations requises pour les cas d'utilisation courants. Vous pouvez attacher ces stratégies à vos utilisateurs, groupes et rôles IAM, en fonction de l'accès à DataSync dont ils ont besoin :

Les politiques gérées AWS suivantes, que vous pouvez attacher aux utilisateurs de votre compte, sont propres à DataSync:

Note

Vous pouvez consulter ces stratégies gérées par en vous connectant à la console IAM et en y recherchant des stratégies spécifiques.

Vous pouvez également créer vos propres stratégies IAM personnalisées pour accorder des autorisations pour les actions d'API AWS DataSync. Vous pouvez attacher ces stratégies personnalisées aux utilisateurs, groupes ou rôles IAM qui nécessitent ces autorisations. Pour plus d'informations sur les politiques gérées par AWS, consultez Politiques gérées par AWSdans le Guide de l'utilisateur IAM.

Autorisations requises pour utiliser la console DataSync

Pour utiliser le plugin DataSync console, vous devez disposerAWSDataSyncFullAccessAutorisations.

Exemples de politiques gérées par le client

Dans cette section, vous trouverez des exemples de stratégies utilisateur qui accordent des autorisations pour diverses actions DataSync . Ces stratégies fonctionnent lorsque vous utilisez le pluginAWSKits de développement logiciel etAWS Command Line Interface(AWS CLI). Lorsque vous utilisez la console, vous devez accorder des autorisations supplémentaires spécifiques à la console, ce qui est détaillé dansAutorisations requises pour utiliser la console DataSync .

Note

Tous ces exemples utilisent des ID de compte et des ID de ressources fictifs.

Exemple 1 : Créez une relation d'approbation qui permet DataSync pour accéder à votre compartiment Amazon S3

Voici un exemple de stratégie d'approbation qui permet DataSync pour assumer un rôle IAM. Ce rôle permet DataSync pour accéder à un compartiment Amazon S3. Pour empêcher leproblème de député confus entre services, nous vous recommandons d'utiliser le pluginaws:SourceArnetaws:SourceAccountClés de contexte de condition globale dans la stratégie.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "datasync.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "StringLike": { "aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*" } } } ] }

Exemple 2 : Autorisation DataSync pour lire et écrire dans votre compartiment Amazon S3

L'exemple suivant : Stratégies d'octroi DataSync les autorisations minimales pour lire et écrire des données dans votre compartiment S3.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetBucketLocation", "s3:ListBucket", "s3:ListBucketMultipartUploads" ], "Effect": "Allow", "Resource": "YourS3BucketArn" }, { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:GetObject", "s3:ListMultipartUploadParts", "s3:GetObjectTagging", "s3:PutObjectTagging", "s3:PutObject" ], "Effect": "Allow", "Resource": "YourS3BucketArn/*" } ] }

Exemple 3 : Autorisation DataSync pour charger des journaux sur CloudWatch groupes de journaux

DataSync nécessite des autorisations pour pouvoir télécharger des journaux sur votre Amazon CloudWatch groupes de journaux. Vous pouvez utiliser CloudWatch des groupes de journaux pour surveiller et déboguer vos tâches.

Pour obtenir un exemple de stratégie IAM qui accorde de telles autorisations, consultezAutoriser DataSync à télécharger des journaux vers des groupes de journaux Amazon CloudWatch Logs.