Politiques gérées par le client IAM pourAWS DataSync - AWS DataSync

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Politiques gérées par le client IAM pourAWS DataSync

Outre les politiquesAWS gérées, vous pouvez également créer vos propres politiques basées sur l'identité pour les opérations d'AWS DataSyncAPI et les associer aux identitésAWS Identity and Access Management (IAM) qui nécessitent ces autorisations. Il s'agit de politiques gérées par le client, qui sont des politiques autonomes que vous gérez vous-mêmeCompte AWS.

Important

Avant de commencer, nous vous recommandons de vous familiariser avec les concepts de base et les options pour gérer l'accès à vosDataSync ressources. Pour plus d'informations, veuillez consulter Gestion des accès pourAWS DataSync.

Présentation des politiques personnalisées

L'exemple suivant est une politique qui accorde des autorisations pour utiliser certainesDataSync opérations.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsSpecifiedActionsOnAllTasks", "Effect": "Allow", "Action": [ "datasync:DescribeTask", "datasync:ListTasks" ], "Resource": "arn:aws:datasync:us-east-2:111222333444:task/*" }, }

La politique comporte une déclaration (notez lesResource élémentsAction et les éléments de la déclaration) qui effectue les opérations suivantes :

  • Accorde l'autorisation d'effectuer deuxDataSync actions (datasync:DescribeTasketdatasync:ListTasks) sur certaines ressources de tâches en utilisant un Amazon Resource Name (ARN).

  • Spécifie un caractère générique (*) dans l'ARN de la tâche, car le rôle IAM est autorisé à effectuer les deux actions sur toutes les tâches. Pour limiter les autorisations relatives aux actions à une tâche spécifique, spécifiez l'ID de la tâche au lieu du caractère générique dans cette instruction.

Exemples de politiques personnalisées

Les exemples de politiques utilisateur suivants accordent des autorisations pour différentesDataSync opérations. Les politiques fonctionnent si vous utilisez lesAWS SDK ouAWS Command Line Interface (AWS CLI). Pour utiliser ces politiques dans la console, vous devez également utiliser la politique géréeAWSDataSyncFullAccess.

Exemple 1 : créer une relation de confiance qui permetDataSync d'accéder à votre compartiment Amazon S3

L'exemple de stratégie d'approbation suivant permet à DataSync d'assumer un rôle IAM. Ce rôle permetDataSync d'accéder à un compartiment Amazon S3. Pour éviter le problème de confusion entre services adjoints, nous vous recommandons d'utiliser les clés de contexte aws:SourceArnet de condition aws:SourceAccountglobale dans la politique.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "datasync.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "StringLike": { "aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*" } } } ] }

Exemple 2 :DataSync Autoriser la lecture et l'écriture dans votre compartiment Amazon S3

L'exemple de politique suivant accordeDataSync les autorisations minimales pour lire et écrire des données dans votre compartiment S3.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetBucketLocation", "s3:ListBucket", "s3:ListBucketMultipartUploads" ], "Effect": "Allow", "Resource": "YourS3BucketArn" }, { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:GetObject", "s3:ListMultipartUploadParts", "s3:GetObjectTagging", "s3:PutObjectTagging", "s3:PutObject" ], "Effect": "Allow", "Resource": "YourS3BucketArn/*" } ] }

Exemple 3 : AutoriserDataSync le téléchargement de journaux vers des groupes deCloudWatch journaux

DataSyncnécessite des autorisations pour pouvoir charger des journaux dans vos groupes deCloudWatch journaux Amazon. Vous pouvez utiliser des groupes deCloudWatch journaux pour surveiller et corriger vos tâches.

Pour obtenir un exemple de politique IAM qui accorde de telles autorisations, consultezDataSyncAutoriser le téléchargement de journaux vers des groupes deCloudWatch journaux.