Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de politiques gérées par le client
Dans cette section, vous trouverez des exemples de politiques utilisateur qui accordent des autorisations pour diverses actions de gestion des AWS Snowball tâches. Ces politiques fonctionnent lorsque vous utilisez AWS SDKs ou le AWS CLI. Lorsque vous utilisez la console, vous devez accorder des autorisations supplémentaires spécifiques à la console, ce qui est détaillé dans Autorisations requises pour utiliser la AWS Snowball console.
Note
Tous les exemples utilisent la région us-west-2 et contiennent un compte fictif. IDs
Exemples
- Exemple 1 : Politique de rôle qui permet à un utilisateur de créer un Job pour commander un appareil Snow Family avec API
- Exemple 2 : Stratégie de rôle pour créer des tâches d'importation
- Exemple 3 : Stratégie de rôle pour créer des tâches d'exportation
- Exemple 4 : Autorisations de rôle attendues et politique de confiance
- AWS Snowball APIAutorisations : référence aux actions, aux ressources et aux conditions
Exemple 1 : Politique de rôle qui permet à un utilisateur de créer un Job pour commander un appareil Snow Family avec API
La politique d'autorisation suivante est un élément nécessaire de toute politique utilisée pour accorder l'autorisation de création de tâches ou de clusters à l'aide de la gestion des tâchesAPI. La déclaration est nécessaire en tant que déclaration de politique en matière de relation de confiance pour le rôle de SnowballIAM.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "importexport.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Exemple 2 : Stratégie de rôle pour créer des tâches d'importation
Vous utilisez la politique d'approbation des rôles suivante pour créer des tâches d'importation pour Snowball Edge utilisant des fonctions AWS Lambda optimisées AWS IoT Greengrass .
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucketMultipartUploads" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "s3:GetBucketPolicy", "s3:GetBucketLocation", "s3:ListBucketMultipartUploads", "s3:ListBucket", "s3:HeadBucket", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts", "s3:PutObjectAcl", "s3:GetObject" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CreateKeysAndCertificate", "iot:CreatePolicy", "iot:CreateThing", "iot:DescribeEndpoint", "iot:GetPolicy" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetFunction" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "greengrass:CreateCoreDefinition", "greengrass:CreateDeployment", "greengrass:CreateDeviceDefinition", "greengrass:CreateFunctionDefinition", "greengrass:CreateGroup", "greengrass:CreateGroupVersion", "greengrass:CreateLoggerDefinition", "greengrass:CreateSubscriptionDefinition", "greengrass:GetDeploymentStatus", "greengrass:UpdateGroupCertificateConfiguration", "greengrass:CreateGroupCertificateAuthority", "greengrass:GetGroupCertificateAuthority", "greengrass:ListGroupCertificateAuthorities", "greengrass:ListDeployments", "greengrass:GetGroup", "greengrass:GetGroupVersion", "greengrass:GetCoreDefinitionVersion" ], "Resource": [ "*" ] } ] }
Exemple 3 : Stratégie de rôle pour créer des tâches d'exportation
Vous utilisez la politique d'approbation des rôles suivante pour créer des tâches d'exportation pour Snowball Edge utilisant des fonctions AWS Lambda optimisées AWS IoT Greengrass .
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CreateKeysAndCertificate", "iot:CreatePolicy", "iot:CreateThing", "iot:DescribeEndpoint", "iot:GetPolicy" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetFunction" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "greengrass:CreateCoreDefinition", "greengrass:CreateDeployment", "greengrass:CreateDeviceDefinition", "greengrass:CreateFunctionDefinition", "greengrass:CreateGroup", "greengrass:CreateGroupVersion", "greengrass:CreateLoggerDefinition", "greengrass:CreateSubscriptionDefinition", "greengrass:GetDeploymentStatus", "greengrass:UpdateGroupCertificateConfiguration", "greengrass:CreateGroupCertificateAuthority", "greengrass:GetGroupCertificateAuthority", "greengrass:ListGroupCertificateAuthorities", "greengrass:ListDeployments", "greengrass:GetGroup", "greengrass:GetGroupVersion", "greengrass:GetCoreDefinitionVersion" ], "Resource": [ "*" ] } ] }
Exemple 4 : Autorisations de rôle attendues et politique de confiance
La politique d'autorisations de rôle attendue suivante est nécessaire pour qu'un rôle de service existant puisse être utilisé. Il s'agit d'une configuration unique.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sns:Publish", "Resource": ["[[snsArn]]"] }, { "Effect": "Allow", "Action": [ "cloudwatch:ListMetrics", "cloudwatch:GetMetricData", "cloudwatch:PutMetricData" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/SnowFamily" } } } ] }
La politique de confiance attendue suivante est nécessaire pour qu'un rôle de service existant puisse être utilisé. Il s'agit d'une configuration unique.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "importexport.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
AWS Snowball APIAutorisations : référence aux actions, aux ressources et aux conditions
Lorsque vous configurez Contrôle d'accès dans AWS Cloud et rédigez une politique d'autorisation que vous pouvez associer à une IAM identité (politiques basées sur l'identité), vous pouvez utiliser la de tableaux suivante comme référence. Le tableau suivant chaque API opération de gestion des AWS Snowball tâches et les actions correspondantes pour lesquelles vous pouvez accorder des autorisations pour effectuer l'action. Il inclut également pour chaque API opération la AWS ressource pour laquelle vous pouvez accorder les autorisations. Vous spécifiez les actions dans le champ Action de la politique ainsi que la valeur des ressources dans le champ Resource de la politique.
Vous pouvez utiliser des AWS clés de condition larges dans vos AWS Snowball polices pour exprimer des conditions. Pour obtenir la liste complète des touches AWS-wide, consultez la section Clés disponibles dans le guide de IAM l'utilisateur.
Note
Pour spécifier une action, utilisez le snowball: préfixe suivi du nom de l'APIopération (par exemple,snowball:CreateJob).
Utilisez les barres de défilement pour voir le reste du tableau.
