Exemples de politiques gérées par le client

Politiques gérées par le client IAM pour AWS DataSync

Outre les politiques AWS gérées, vous pouvez également créer vos propres politiques basées sur les identités AWS DataSync et les associer aux identités AWS Identity and Access Management (IAM) qui nécessitent ces autorisations. Ces politiques sont connues sous le nom de politiques gérées par le client, qui sont des politiques autonomes que vous administrez vous-même. Compte AWS

Important

Avant de commencer, nous vous recommandons de vous renseigner sur les concepts de base et les options de gestion de l'accès à vos DataSync ressources. Pour de plus amples informations, veuillez consulter Gestion des accès pour AWS DataSync.

Lorsque vous créez une politique gérée par le client, vous incluez des déclarations concernant les DataSync opérations qui peuvent être utilisées sur certaines AWS ressources. L'exemple de politique suivant comporte deux déclarations (notez les Resource éléments Action et de chaque déclaration) :


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowsSpecifiedActionsOnAllTasks",
            "Effect": "Allow",
            "Action": [
                "datasync:DescribeTask",
            ],
            "Resource": "arn:aws:datasync:us-east-2:111222333444:task/*"
        },  
        {
            "Sid": "ListAllTasks",
            "Effect": "Allow",
            "Action": [
                "datasync:ListTasks"
            ],
            "Resource": "*"
        },
}

Les énoncés de la politique ont les objectifs suivants :

La première instruction autorise l'exécution de l'datasync:DescribeTaskaction sur certaines ressources des tâches de transfert en spécifiant un Amazon Resource Name (ARN) avec un caractère générique (*).
La deuxième instruction autorise l'exécution de l'datasync:ListTasksaction sur toutes les tâches en spécifiant simplement un caractère générique (*).

Exemples de politiques gérées par le client

L'exemple suivant de politiques gérées par le client octroie des autorisations pour diverses DataSync opérations. Les politiques fonctionnent si vous utilisez le AWS Command Line Interface (AWS CLI) ou un AWS SDK. Pour utiliser ces politiques dans la console, vous devez également utiliser la stratégie géréeAWSDataSyncFullAccess.

Rubriques

Exemple 1 : créer une relation de confiance qui permet DataSync d'accéder à votre compartiment Amazon S3
Exemple 2 : DataSync Autoriser la lecture et l'écriture dans votre compartiment Amazon S3
Exemple 3 : Autoriser DataSync le téléchargement de journaux vers des groupes de CloudWatch journaux

Exemple 1 : créer une relation de confiance qui permet DataSync d'accéder à votre compartiment Amazon S3

Voici un exemple de politique de confiance qui permet d' DataSync assumer un rôle IAM. Ce rôle permet DataSync d'accéder à un compartiment Amazon S3. Pour éviter le problème de confusion entre les services adjoints, nous vous recommandons d'utiliser les clés de contexte aws:SourceArnet de condition aws:SourceAccountglobale dans la politique.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "datasync.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*"
                }
            }
        }
    ]
}

Exemple 2 : DataSync Autoriser la lecture et l'écriture dans votre compartiment Amazon S3

L'exemple de politique suivant accorde DataSync les autorisations minimales pour lire et écrire des données dans un compartiment S3 utilisé comme emplacement de destination.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
        },
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:GetObjectTagging",
                "s3:GetObjectVersion",
                "s3:GetObjectVersionTagging",
                "s3:ListMultipartUploadParts",
                "s3:PutObject",
                "s3:PutObjectTagging"
              ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}

Exemple 3 : Autoriser DataSync le téléchargement de journaux vers des groupes de CloudWatch journaux

DataSync nécessite des autorisations pour pouvoir télécharger des journaux dans vos groupes de CloudWatch journaux Amazon. Vous pouvez utiliser des groupes de CloudWatch journaux pour surveiller et déboguer vos tâches.

Pour un exemple de politique IAM qui accorde de telles autorisations, consultez DataSync Autoriser le téléchargement de journaux dans un groupe de CloudWatch journaux.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS politiques gérées

Utilisation des rôles liés aux services