Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour AWS Storage Gateway
AWS Storage Gateway (préfixe de service : storagegateway) fournit les ressources, actions et clés de contexte de condition spécifiques au service suivantes en vue de leur utilisation dans les politiques d'autorisation IAM.
Références :
-
Découvrez comment configurer ce service.
-
Affichez la liste des opérations d'API disponibles pour ce service.
-
Découvrez comment protéger ce service et ses ressources avec les stratégies d'autorisation IAM.
Rubriques
Actions définies par AWS Storage Gateway
Vous pouvez indiquer les actions suivantes dans l'élément Action d'une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une stratégie, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande CLI portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez indiquer un ARN de ce type dans une déclaration avec cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément dans une politique IAM, vous devez inclure un ARN ou un modèle pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
| Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
|---|---|---|---|---|---|
| ActivateGateway | Accorde l'autorisation d'activer la passerelle que vous avez précédemment déployée sur votre hôte | Écriture | |||
| AddCache | Accorde l'autorisation de configurer un ou plusieurs disques locaux de passerelle en tant que cache pour une passerelle à volume mis en cache | Écriture | |||
| AddTagsToResource | Accorde l'autorisation d'ajouter une ou plusieurs identifications à la ressource spécifiée | Balisage | |||
| AddUploadBuffer | Accorde l'autorisation de configurer un ou plusieurs disques locaux de passerelle en tant que tampon de chargement pour une passerelle spécifiée | Écriture | |||
| AddWorkingStorage | Accorde l'autorisation de configurer un ou plusieurs disques locaux de passerelle en tant que stockage de traitement pour une passerelle | Écriture | |||
| AssignTapePool | Accorde l'autorisation de déplacer une bande vers le groupe cible spécifié | Écriture | |||
| AssociateFileSystem | Accorde l'autorisation d'associer un système de fichiers Amazon FSx à la passerelle de fichiers Amazon FSx. | Écriture |
ds:DescribeDirectories ec2:DescribeNetworkInterfaces fsx:DescribeFileSystems iam:CreateServiceLinkedRole logs:CreateLogDelivery logs:GetLogDelivery logs:ListLogDeliveries logs:UpdateLogDelivery |
||
| AttachVolume | Accorde l'autorisation de connecter un volume à une connexion iSCSI, puis attache le volume à la passerelle spécifiée | Écriture | |||
| BypassGovernanceRetention | Accorde l'autorisation de contourner le verrou de rétention de gouvernance sur un groupe | Écriture | |||
| CancelArchival | Accorde l'autorisation d'annuler l'archivage d'une bande virtuelle sur l'étagère de bandes virtuelles (VTS) après le démarrage du processus d'archivage | Écriture | |||
| CancelRetrieval | Accorde l'autorisation d'annuler la récupération d'une bande virtuelle à partir de l'étagère de bandes virtuelles (VTS) à destination d'une passerelle après le démarrage du processus de récupération | Écriture | |||
| CreateCachediSCSIVolume | Accorde l'autorisation de créer un volume mis en cache sur une passerelle mise en cache spécifiée Cette opération est uniquement prise en charge pour l'architecture de volumes mis en cache sur la passerelle | Écriture | |||
| CreateNFSFileShare | Accorde l'autorisation de créer un partage de fichiers NFS sur une passerelle de fichiers existante | Écriture | |||
| CreateSMBFileShare | Accorde l'autorisation de créer un partage de fichiers SMB sur une passerelle de fichiers existante | Écriture | |||
| CreateSnapshot | Accorde l'autorisation de lancer un instantané d'un volume | Écriture | |||
| CreateSnapshotFromVolumeRecoveryPoint | Accorde l'autorisation de lancer un instantané d'une passerelle à partir d'un point de récupération de volume | Écriture | |||
| CreateStorediSCSIVolume | Accorde l'autorisation de créer un volume sur une passerelle spécifiée | Écriture | |||
| CreateTapePool | Accorde l'autorisation de créer un groupe de bandes | Écriture | |||
| CreateTapeWithBarcode | Accorde l'autorisation de créer une bande virtuelle à l'aide de votre propre code-barres | Écriture | |||
| CreateTapes | Accorde l'autorisation de créer une ou plusieurs bandes virtuelles. Vous écrivez des données sur les bandes virtuelles, puis vous archivez les bandes | Écriture | |||
| DeleteAutomaticTapeCreationPolicy | Accorde l'autorisation de supprimer la politique de création automatique de bandes configurée sur une passerelle VTL | Écriture | |||
| DeleteBandwidthRateLimit | Accorde l'autorisation de supprimer les limites de débit de bande passante d'une passerelle | Écriture | |||
| DeleteChapCredentials | Accorde l'autorisation de supprimer les informations d'identification via le protocole CHAP (Challenge-Handshake Authentication Protocol) pour une paire cible-initiateur iSCSI spécifiée | Écriture | |||
| DeleteFileShare | Accorde l'autorisation de supprimer un partage de fichiers à partir d'une passerelle de fichiers | Écriture | |||
| DeleteGateway | Accorde l'autorisation de supprimer une passerelle | Écriture | |||
| DeleteSnapshotSchedule | Accorde l'autorisation de supprimer un instantané d'un volume | Écriture | |||
| DeleteTape | Accorde l'autorisation de supprimer la bande virtuelle spécifiée | Écriture | |||
| DeleteTapeArchive | Accorde l'autorisation de supprimer la bande virtuelle spécifiée de l'étagère de bandes virtuelles (VTS) | Écriture | |||
| DeleteTapePool | Accorde l'autorisation de supprimer le groupe de bandes spécifié | Écriture | |||
| DeleteVolume | Accorde l'autorisation de supprimer le volume de passerelle spécifié que vous avez préalablement créé à l'aide de l'API CreateCachediSCSIVolume ou CreateStorediSCSIVolume | Écriture | |||
| DescribeAvailabilityMonitorTest | Accorde l'autorisation d'obtenir les informations sur le test de surveillance de haute disponibilité qui a été effectué le plus récemment sur la passerelle | Lecture | |||
| DescribeBandwidthRateLimit | Accorde l'autorisation d'obtenir les limites de débit de bande passante d'une passerelle | Lecture | |||
| DescribeBandwidthRateLimitSchedule | Accorde l'autorisation d'obtenir le calendrier de limite de débit de bande passante d'une passerelle | Lecture | |||
| DescribeCache | Accorde l'autorisation d'obtenir des informations sur le cache d'une passerelle Cette opération est uniquement prise en charge pour l'architecture de volumes mis en cache sur la passerelle | Lecture | |||
| DescribeCachediSCSIVolumes | Accorde l'autorisation d'obtenir une description des volumes de passerelle spécifiés dans la requête. Cette opération est uniquement prise en charge pour l'architecture de volumes mis en cache sur la passerelle | Lecture | |||
| DescribeChapCredentials | Accorde l'autorisation d'obtenir un tableau des informations d'identification via le protocole CHAP (Challenge-Handshake Authentication Protocol) pour une cible iSCSI spécifiée, une pour chaque paire cible-initiateur | Lecture | |||
| DescribeFileSystemAssociations | Accorde l'autorisation d'obtenir une description pour une ou plusieurs associations de systèmes de fichiers. | Lecture | |||
| DescribeGatewayInformation | Accorde l'autorisation d'obtenir des métadonnées sur une passerelle telles que son nom, les interfaces réseau, le fuseau horaire configuré et son état (que la passerelle soit en cours d'exécution ou non) | Lecture | |||
| DescribeMaintenanceStartTime | Accorde l'autorisation d'obtenir l'heure de début de la maintenance hebdomadaire de votre passerelle, en particulier le jour et l'heure de la semaine | Lecture | |||
| DescribeNFSFileShares | Accorde l'autorisation d'obtenir une description pour un ou plusieurs partages de fichiers à partir d'une passerelle de fichiers | Lecture | |||
| DescribeSMBFileShares | Accorde l'autorisation d'obtenir une description pour un ou plusieurs partages de fichiers à partir d'une passerelle de fichiers | Lecture | |||
| DescribeSMBSettings | Accorde l'autorisation d'obtenir une description des paramètres de partage de fichier SMB (Server Message Block) à partir d'une passerelle de fichiers | Lecture | |||
| DescribeSnapshotSchedule | Accorde l'autorisation de décrire le planning des instantanés pour le volume de passerelle spécifié | Lecture | |||
| DescribeStorediSCSIVolumes | Accorde l'autorisation d'obtenir la description des volumes de passerelle spécifiés dans la demande | Lecture | |||
| DescribeTapeArchives | Accorde l'autorisation d'obtenir une description des bandes virtuelles spécifiées dans l'étagère de bandes virtuelles (VTS) | Lecture | |||
| DescribeTapeRecoveryPoints | Accorde l'autorisation d'obtenir la liste des points de récupération de bandes virtuelles qui sont disponibles pour le dispositif Gateway-VTL spécifié | Lecture | |||
| DescribeTapes | Accorde l'autorisation d'obtenir une description de l'Amazon Resource Name (ARN) de bandes virtuelles | Lecture | |||
| DescribeUploadBuffer | Accorde l'autorisation d'obtenir des informations sur le tampon de chargement d'une passerelle | Lecture | |||
| DescribeVTLDevices | Accorde l'autorisation d'obtenir une description des périphériques de la bibliothèque de bandes virtuelles (VTL) pour la passerelle spécifiée | Lecture | |||
| DescribeWorkingStorage | Accorde l'autorisation d'obtenir des informations sur le stockage de traitement d'une passerelle | Lecture | |||
| DetachVolume | Accorde l'autorisation de se déconnecter d'un volume à partir d'une connexion iSCSI, puis détache le volume de la passerelle spécifiée | Écriture | |||
| DisableGateway | Accorde l'autorisation de désactiver une passerelle lorsque la passerelle ne fonctionne plus | Écriture | |||
| DisassociateFileSystem | Accorde l'autorisation de dissocier un système de fichiers Amazon FSx d'une passerelle de fichiers Amazon FSx. | Écriture | |||
| JoinDomain | Accorde l'autorisation de vous permettre de rejoindre un domaine Active Directory | Écrire | |||
| ListAutomaticTapeCreationPolicies | Octroie l'autorisation de répertorier les stratégies de création automatique de bandes configurées sur la passerelle VTL spécifiée ou sur toutes les passerelles VTL appartenant à votre Compte AWS. | Liste | |||
| ListFileShares | Octroie l'autorisation d'obtenir une liste des partages de fichiers pour une passerelle de fichiers spécifique ou la liste des partages de fichiers détenus par votre Compte AWS. | Liste | |||
| ListFileSystemAssociations | Accorde l'autorisation d'obtenir une liste des associations de systèmes de fichiers pour la passerelle spécifiée. | Liste | |||
| ListGateways | Accorde l'autorisation de répertorier des passerelles appartenant à un Compte AWS dans une Région spécifiée dans la demande. La liste renvoyée est classée par Amazon Resource Name (ARN) de passerelle | Liste | |||
| ListLocalDisks | Accorde l'autorisation d'obtenir une liste des disques locaux de la passerelle | Liste | |||
| ListTagsForResource | Accorde l'autorisation d'obtenir les identifications qui ont été ajoutées à la ressource spécifiée | Liste | |||
| ListTapePools | Accorde l'autorisation de répertorier des groupes de bandes appartenant à votre Compte AWS | Liste | |||
| ListTapes | Accorde l'autorisation de répertorier des bandes virtuelles de votre bibliothèque de bandes virtuelles (VTL) et de votre étagère de bandes virtuelles (VTS) | Liste | |||
| ListVolumeInitiators | Accorde l'autorisation de répertorier des initiateurs iSCSI connectés à un volume | Liste | |||
| ListVolumeRecoveryPoints | Accorde l'autorisation de répertorier les points de récupération pour une passerelle spécifiée | Liste | |||
| ListVolumes | Accorde l'autorisation de répertorier les volumes stockés iSCSI d'une passerelle | Liste | |||
| NotifyWhenUploaded | Accorde l'autorisation de vous envoyer une notification via CloudWatch Events lorsque tous les fichiers écrits dans votre partage de fichiers NFS ont été chargés dans Amazon S3 | Écriture | |||
| RefreshCache | Accorde l'autorisation d'actualiser le cache pour le partage de fichiers spécifié | Écriture | |||
| RemoveTagsFromResource | Accorde l'autorisation de supprimer une ou plusieurs identifications de la ressource spécifiée | Balisage | |||
| ResetCache | Accorde l'autorisation de réinitialiser tous les disques de mémoire cache qui ont rencontré une erreur et autorise la reconfiguration de ces disques en tant que stockages de cache | Écriture | |||
| RetrieveTapeArchive | Accorde l'autorisation de récupérer une bande virtuelle archivée de l'étagère de bandes virtuelles (VTS) vers une gateway-VTL | Écriture | |||
| RetrieveTapeRecoveryPoint | Accorde l'autorisation de récupérer le point de récupération de la bande virtuelle spécifiée | Écriture | |||
| SetLocalConsolePassword | Accorde l'autorisation de définir le mot de passe pour votre console locale de machine virtuelle | Écriture | |||
| SetSMBGuestPassword | Accorde l'autorisation de définir le mot de passe pour l'utilisateur invité SMB | Écriture | |||
| ShutdownGateway | Accorde l'autorisation d'arrêter une passerelle | Écriture | |||
| StartAvailabilityMonitorTest | Accorde l'autorisation de démarrer un test qui vérifie que la passerelle spécifiée est configurée pour la surveillance de la haute disponibilité dans votre environnement hôte | Écriture | |||
| StartGateway | Accorde l'autorisation de démarrer une passerelle que vous avez précédemment arrêtée | Écriture | |||
| UpdateAutomaticTapeCreationPolicy | Accorde l'autorisation de mettre à jour la politique de création automatique de bande configurée sur une gateway-VTL | Écriture | |||
| UpdateBandwidthRateLimit | Accorde l'autorisation de mettre à jour les limites de débit de bande passante d'une passerelle | Écriture | |||
| UpdateBandwidthRateLimitSchedule | Accorde l'autorisation de mettre à jour le calendrier de limite de débit de bande passante d'une passerelle | Écriture | |||
| UpdateChapCredentials | Accorde l'autorisation de mettre à jour les informations d'identification via le protocole CHAP (Challenge-Handshake Authentication Protocol) pour une cible iSCSI spécifiée | Écriture | |||
| UpdateFileSystemAssociation | Accorde l'autorisation de mettre à jour une association de système de fichiers. | Écriture |
logs:CreateLogDelivery logs:DeleteLogDelivery logs:GetLogDelivery logs:ListLogDeliveries logs:UpdateLogDelivery |
||
| UpdateGatewayInformation | Accorde l'autorisation de mettre à jour les métadonnées d'une passerelle, ce qui inclut le nom et le fuseau horaire de la passerelle | Écriture | |||
| UpdateGatewaySoftwareNow | Accorde l'autorisation de mettre à jour le logiciel de la machine virtuelle (VM) de passerelle | Écriture | |||
| UpdateMaintenanceStartTime | Accorde l'autorisation demettre à jour l'heure de début de la maintenance hebdomadaire d'une passerelle, en particulier le jour et l'heure de la semaine. L'heure de maintenance est l'heure dans le fuseau horaire de votre passerelle | Écriture | |||
| UpdateNFSFileShare | Accorde l'autorisation de mettre à jour un partage de fichiers NFS | Écriture | |||
| UpdateSMBFileShare | Accorde l'autorisation de mettre à jour un partage de fichiers SMB | Écriture | |||
| UpdateSMBFileShareVisibility | Accorde l'autorisation de mettre à jour la visibilité des partages d'une passerelle dans une vue réseau ou dans une liste de navigation | Écrire | |||
| UpdateSMBLocalGroups | Accorde l'autorisation de mettre à jour la liste des utilisateurs et groupes Active Directory disposant d'autorisations spéciales pour les partages de fichiers SMB sur la passerelle | Écrire | |||
| UpdateSMBSecurityStrategy | Accorde l'autorisation de mettre à jour la stratégie de sécurité SMB sur une passerelle de fichiers | Écriture | |||
| UpdateSnapshotSchedule | Accorde l'autorisation de mettre à jour une planification d'instantanés configuré pour un volume de passerelle | Écriture | |||
| UpdateVTLDeviceType | Accorde l'autorisation de mettre à jour le type de changement de support dans une gateway-VTL | Écrire |
Types de ressources définis par AWS Storage Gateway
Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l' Resource élément des déclarations de politique d'autorisation IAM. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
| Types de ressources | ARN | Clés de condition |
|---|---|---|
| device |
arn:${Partition}:storagegateway:${Region}:${Account}:gateway/${GatewayId}/device/${Vtldevice}
|
|
| fs-association |
arn:${Partition}:storagegateway:${Region}:${Account}:fs-association/${FsaId}
|
|
| gateway |
arn:${Partition}:storagegateway:${Region}:${Account}:gateway/${GatewayId}
|
|
| share |
arn:${Partition}:storagegateway:${Region}:${Account}:share/${ShareId}
|
|
| tape |
arn:${Partition}:storagegateway:${Region}:${Account}:tape/${TapeBarcode}
|
|
| tapepool |
arn:${Partition}:storagegateway:${Region}:${Account}:tapepool/${PoolId}
|
|
| target |
arn:${Partition}:storagegateway:${Region}:${Account}:gateway/${GatewayId}/target/${IscsiTarget}
|
|
| volume |
arn:${Partition}:storagegateway:${Region}:${Account}:gateway/${GatewayId}/volume/${VolumeId}
|
Clés de condition pour AWS Storage Gateway
AWS Storage Gateway définit les clés de condition suivantes que vous pouvez utiliser dans l'élément Condition d'une politique IAM. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
| Clés de condition | Description | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtre l'accès en fonction de l'ensemble de valeurs autorisées pour chacune des identifications | Chaîne |
| aws:ResourceTag/${TagKey} | Filtre l'accès en fonction de la valeur d'identification associée à la ressource | Chaîne |
| aws:TagKeys | Filtre l'accès en fonction de la présence de identifications obligatoires dans la demande | ArrayOfString |
