Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation de politiques basées sur l'identité (politiques IAM) pour AWS Snowball
Cette rubrique fournit des exemples de politiques basées sur l'identité qui montrent comment un administrateur de compte peut associer des politiques d'autorisation aux identités IAM (c'est-à-dire aux utilisateurs, aux groupes et aux rôles). Ces politiques accordent ainsi des autorisations pour effectuer des opérations sur les AWS Snowball ressources du AWS Cloud.
Important
Nous vous recommandons tout d'abord d'examiner les rubriques de présentation qui détaillent les concepts de base et les options disponibles pour gérer l'accès à vos ressources AWS Snowball . Pour plus d’informations, consultez Vue d'ensemble de la gestion des autorisations d'accès à vos ressources dans le AWS Cloud.
Les sections de cette rubrique couvrent les sujets suivants :
Un exemple de politique d'autorisation est exposé ci-dessous.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*", "importexport:*" ], "Resource": "*" } ] }
La politique possède deux énoncés:
-
La première instruction accorde des autorisations pour trois actions Amazon S3 (
s3:GetBucketLocation,s3:GetObject, ets3:ListBucket) sur tous les compartiments Amazon S3 en utilisant le nom de ressource Amazon (ARN) dearn:aws:s3:::*. L'ARN spécifie un caractère générique (*) afin que l'utilisateur puisse choisir l'un ou l'ensemble des compartiments Amazon S3 à partir desquels exporter des données. -
La deuxième instruction accorde des autorisations pour toutes les AWS Snowball actions. Etant donné que ces actions ne prennent pas en charge les autorisations au niveau des ressources, la stratégie spécifie le caractère générique (*) et la valeur
Resourcespécifie également un caractère générique.
La politique ne spécifie pas l'élément Principal, car dans une politique basée sur une identité, vous ne spécifiez pas le principal qui obtient l'autorisation. Quand vous attachez une stratégie à un utilisateur, l'utilisateur est le mandataire implicite. Lorsque vous attachez une politique d'autorisation à un rôle IAM, le principal identifié dans la politique d'approbation de ce rôle obtient les autorisations.
Pour un tableau présentant toutes les actions de l'API de gestion des AWS Snowball tâches et les ressources auxquelles elles s'appliquent, consultezAWS Snowball Autorisations d'API : référence des actions, des ressources et des conditions.
Autorisations requises pour utiliser la AWS Snowball console
Le tableau de référence des autorisations répertorie les opérations de l'API de gestion des AWS Snowball tâches et indique les autorisations requises pour chaque opération. Pour plus d'informations sur les opérations d'API de gestion des tâches, consultez AWS Snowball Autorisations d'API : référence des actions, des ressources et des conditions.
Pour utiliser le AWS Snow Family Management Console, vous devez accorder des autorisations pour des actions supplémentaires, comme indiqué dans la politique d'autorisation suivante :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetBucketPolicy", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListAllMyBuckets" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "lambda:GetFunction", "lambda:GetFunctionConfiguration" ], "Resource": "arn:aws:lambda:*::function:*" }, { "Effect": "Allow", "Action": [ "lambda:ListFunctions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:GenerateDataKey", "kms:Decrypt", "kms:Encrypt", "kms:RetireGrant", "kms:ListKeys", "kms:DescribeKey", "kms:ListAliases" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreatePolicy", "iam:CreateRole", "iam:ListRoles", "iam:ListRolePolicies", "iam:PutRolePolicy" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "importexport.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:ModifyImageAttribute" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:ListTopics", "sns:GetTopicAttributes", "sns:SetTopicAttributes", "sns:ListSubscriptionsByTopic", "sns:Subscribe" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "greengrass:getServiceRoleForAccount" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] } ] }
La AWS Snowball console a besoin de ces autorisations supplémentaires pour les raisons suivantes :
-
ec2:— Ils permettent à l'utilisateur de décrire les instances compatibles avec Amazon EC2 et de modifier leurs attributs à des fins de calcul local. Pour plus d’informations, consultez Utilisation d'instances de calcul compatibles avec Amazon EC2. -
kms:— Ils permettent à l'utilisateur de créer ou de choisir la clé KMS qui chiffrera vos données. Pour plus d’informations, consultez AWS Key Management Service dans AWS Snowball Edge. -
iam:— Ils permettent à l'utilisateur de créer ou de choisir un ARN de rôle IAM qui AWS Snowball assumera l'accès aux AWS ressources associées à la création et au traitement des tâches. -
sns:— Ils permettent à l'utilisateur de créer ou de choisir les notifications Amazon SNS pour les tâches qu'il crée. Pour plus d’informations, consultez Notifications pour les appareils Snow Family.
