Kebijakan terkelola AWS untuk Amazon FSx - FSx for ONTAP

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kebijakan terkelola AWS untuk Amazon FSx

Untuk menambahkan izin ke pengguna, grup, dan peran, lebih mudah menggunakan kebijakan terkelola AWS dibandingkan menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk membuat kebijakan terkelola pelanggan IAM yang hanya menyediakan izin sesuai kebutuhan tim Anda. Untuk mulai dengan cepat, Anda dapat menggunakan kebijakan-kebijakan terkelola AWS kami. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di akun Akun AWS Anda. Untuk informasi lebih lanjut tentang kebijakan terkelola AWS, lihat kebijakan terkelola AWS di Panduan Pengguna IAM.

Layanan AWSmemelihara dan memperbaruiAWSkebijakan terkelola. Anda tidak dapat mengubah izin yang ada dalam kebijakan-kebijakan yang dikelola AWS. Layanan terkadang menambahkan izin tambahan ke kebijakan yang dikelola AWS untuk mendukung fitur-fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan yang dikelola AWS saat ada fitur baru yang diluncurkan atau saat ada operasi baru yang tersedia. Layanan tidak menghapus izin yang ada di kebijakan yang dikelola AWS, sehingga pembaruan-pembaruan yang terjadi pada kebijakan tidak akan membuat izin yang ada rusak.

Selain itu, AWS mendukung kebijakan-kebijakan terkelola untuk fungsi tugas yang mencakup beberapa layanan. Misalnya,ViewOnlyAccess AWSKebijakan terkelola menyediakan akses hanya baca ke banyakLayanan AWSdan sumber daya. Saat layanan meluncurkan fitur baru, AWS menambahkan izin hanya-baca untuk operasi dan sumber daya yang baru. Untuk melihat daftar dan deskripsi dari kebijakan-kebijakan fungsi tugas, lihat kebijakan terkelola AWS untuk fungsi tugas di Panduan Pengguna IAM.

AWSkebijakan terkelola: AmazonFSxDeleteServiceLinkedRoleAccess

Anda tidak dapat melampirkan AmazonFSxDeleteServiceLinkedRoleAccess ke entitas IAM Anda. Kebijakan ini ditautkan ke layanan layanan dan hanya digunakan dengan peran terkait layanan untuk layanan tersebut. Anda tidak dapat melampirkan, melepaskan, memodifikasi, atau menghapus kebijakan ini. Untuk informasi selengkapnya, lihat Menggunakan peran tertaut layanan untuk Amazon FSx.

Kebijakan ini memberikan izin administratif yang memungkinkan Amazon FSx menghapus Peran Tertaut Layanan untuk akses Amazon S3, yang hanya digunakan oleh Amazon FSx for Lustre.

Detail Izin

Kebijakan ini mencakup izin diiamuntuk memungkinkan Amazon FSx untuk melihat, menghapus, dan melihat status penghapusan untuk FSx Service Linked Roles untuk akses Amazon S3.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus", "iam:GetRole" ], "Resource": "arn:*:iam::*:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_*" } ] }

AWSkebijakan terkelola: AmazonFSxFullAccess

Anda dapat melampirkan AmazonFSxFullAccess ke entitas IAM Anda. Kebijakan ini juga dilampirkan ke peran layanan yang mengizinkan Amazon FSx untuk melakukan tindakan atas nama Anda.

Menyediakan akses penuh ke Amazon FSx dan akses ke layanan AWS terkait.

Detail Izin

Kebijakan ini mencakup izin berikut.

  • fsx – Mengizinkan prinsipal memiliki akses penuh untuk melakukan semua tindakan Amazon FSx.

  • ds – Mengizinkan prinsipal untuk melihat informasi tentang direktori AWS Directory Service.

  • iam – Mengizinkan prinsipal untuk membuat layanan Amazon FSx terkait peran atas nama pengguna. Hal ini diperlukan agar Amazon FSx dapat mengelolaAWSsumber daya atas nama pengguna.

  • logs — Mengizinkan prinsipal untuk membuat grup log, aliran log, dan menulis peristiwa untuk aliran log. Ini diperlukan agar pengguna dapat memantau sistem file FSx for Windows File Server dengan mengirim log audit CloudWatch Log.

  • firehose – Mengizinkan prinsipal untuk menulis catatan ke Amazon Kinesis Data Firehose. Ini agar pengguna dapat memantau sistem file FSx for Windows File Server dengan mengirim log audit ke Kinesis Data Firehose.

  • ec2- Memungkinkan prinsipal untuk membuat tag di bawah kondisi yang ditentukan.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:DescribeDirectories", "fsx:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "fsx.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "s3.data-source.lustre.fsx.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/fsx/*:log-group:*" ] }, { "Effect": "Allow", "Action": [ "firehose:PutRecord" ], "Resource": [ "arn:aws:firehose:*:*:deliverystream/aws-fsx-*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*:*:route-table/*" ], "Condition": { "StringEquals": { "aws:RequestTag/AmazonFSx": "ManagedByAmazonFSx" }, "ForAnyValue:StringEquals": { "aws:CalledVia": ["fsx.amazonaws.com"] } } } ] }

AWSkebijakan terkelola: AmazonFSxConsoleFullAccess

Anda dapat melampirkan kebijakan AmazonFSxConsoleFullAccess ke identitas-identitas IAM Anda.

Kebijakan ini memberikan izin administrasi yang mengizinkan akses penuh ke Amazon FSx dan layanan AWS terkait, melalui AWS Management Console.

Detail Izin

Kebijakan ini mencakup izin berikut.

  • fsx – Memungkinkan prinsipal untuk melakukan semua tindakan di konsol manajemen Amazon FSx.

  • cloudwatch— Memungkinkan prinsipal untuk melihat CloudWatch Alarm di konsol manajemen Amazon FSx.

  • ds – Mengizinkan prinsipal untuk melihat informasi tentang direktori AWS Directory Service.

  • ec2— Mengizinkan prinsipal untuk membuat tanda pada tabel rute, mencantumkan antarmuka jaringan, tabel rute, grup keamanan, subnet, dan VPC yang terkait dengan sistem file Amazon FSx.

  • kms – Mengizinkan prinsipal untuk mendaftar alias untuk kunci AWS Key Management Service.

  • s3 – Mengizinkan prinsipal utama untuk mendaftar beberapa atau semua objek dalam bucket Amazon S3 (hingga 1000).

  • iam – Memberikan izin untuk membuat peran tertaut layanan yang mengizinkan Amazon FSx melakukan tindakan atas nama pengguna.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "ds:DescribeDirectories", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "firehose:ListDeliveryStreams", "fsx:*", "kms:ListAliases", "logs:DescribeLogGroups", "s3:ListBucket" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "fsx.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "s3.data-source.lustre.fsx.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*:*:route-table/*" ], "Condition": { "StringEquals": { "aws:RequestTag/AmazonFSx": "ManagedByAmazonFSx" }, "ForAnyValue:StringEquals": { "aws:CalledVia": ["fsx.amazonaws.com"] } } } ] }

AWSkebijakan terkelola: AmazonFSxConsoleReadOnlyAccess

Anda dapat melampirkan kebijakan AmazonFSxConsoleReadOnlyAccess ke identitas-identitas IAM Anda.

Kebijakan ini memberikan izin baca saja untuk Amazon FSx dan layanan AWS terkait sehingga pengguna dapat melihat informasi tentang layanan ini di AWS Management Console.

Detail Izin

Kebijakan ini mencakup izin berikut.

  • fsx – Mengizinkan prinsipal untuk melihat informasi tentang sistem file Amazon FSx, termasuk semua tag, di Konsol Manajemen Amazon FSx.

  • cloudwatch— Memungkinkan prinsipal untuk melihat CloudWatch Alarm di Konsol Manajemen Amazon FSx.

  • ds – Mengizinkan prinsipal untuk melihat informasi tentang direktori AWS Directory Service di konsol manajemen Amazon FSx.

  • ec2 – Mengizinkan prinsipal untuk melihat antarmuka jaringan, grup keamanan, subnet, dan VPC yang terkait dengan sistem file Amazon FSx di konsol manajemen Amazon FSx .

  • kms – Mengizinkan prinsipal untuk melihat alias untuk kunci AWS Key Management Service di konsol manajemen Amazon FSx.

  • log- Memungkinkan prinsipal untuk menggambarkan Amazon CloudWatch Log grup log yang terkait dengan akun yang membuat permintaan. Ini diperlukan agar prinsipal dapat melihat konfigurasi audit akses file FSx for Windows File Server.

  • firehose – Mengizinkan prinsipal untuk menjelaskan aliran pengiriman Amazon Kinesis Data Firehose yang terkait dengan akun yang membuat permintaan. Ini diperlukan agar prinsipal dapat melihat konfigurasi audit akses file FSx for Windows File Server.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "ds:DescribeDirectories", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "firehose:ListDeliveryStreams", "fsx:Describe*", "fsx:ListTagsForResource", "kms:DescribeKey", "logs:DescribeLogGroups" ], "Resource": "*" } ] }

AWSkebijakan terkelola: AmazonFSxReadOnlyAccess

Anda dapat melampirkan kebijakan AmazonFSxReadOnlyAccess ke identitas-identitas IAM Anda.

Kebijakan ini memberikan izin administratif yang memungkinkan akses hanya-baca ke Amazon FSx.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:Describe*", "fsx:ListTagsForResource" ], "Resource": "*" } ] }

Amazon FSx memperbarui untuk kebijakan terkelola AWS

Lihat detail tentang pembaruan untuk kebijakan terkelola AWS untuk Amazon FSx sejak layanan ini mulai melacak perubahan-perubahan ini. Untuk pemberitahuan otomatis tentang perubahan laman ini, berlanggananlah ke umpan RSS pada laman Amazon FSx Riwayat Dokumen untuk Amazon FSx NetApp ONTAP.

Perubahan Deskripsi Tanggal

AmazonFSxReadOnlyAccess- Memulai kebijakan pelacakan

Kebijakan ini memberikan akses hanya-baca ke semua sumber daya Amazon FSx dan setiap tag yang terkait dengannya.

4 Februari 2022

AmazonFSxDeleteServiceLinkedRoleAccess- Memulai kebijakan pelacakan

Kebijakan ini memberikan izin administratif yang memungkinkan Amazon FSx untuk akses Amazon S3.

Selasa, 07 Januari 2022

AmazonFSxServiceRolePolicy— Pembaruan ke kebijakan yang tersedia

Amazon FSx menambahkan izin baru untuk mengizinkan Amazon FSx mengelola konfigurasi jaringan untuk Amazon FSx for NetApp Sistem file ONTAP.

2 September 2021

AmazonFSxFullAccess— Pembaruan ke kebijakan yang tersedia

Amazon FSx menambahkan izin baru untuk memungkinkan Amazon FSx membuat tag pada tabel rute EC2 untuk panggilan tercakup.

2 September 2021

AmazonFSxConsoleFullAccess— Pembaruan ke kebijakan yang tersedia

Amazon FSx menambahkan izin baru untuk mengizinkan Amazon FSx membuat Amazon FSx x x NetApp Sistem file ONTAP Multi-AZ.

2 September 2021

AmazonFSxConsoleFullAccess— Pembaruan ke kebijakan yang tersedia

Amazon FSx menambahkan izin baru untuk memungkinkan Amazon FSx membuat tag pada tabel rute EC2 untuk panggilan tercakup.

2 September 2021

AmazonFSxServiceRolePolicy— Pembaruan ke kebijakan yang tersedia

Amazon FSx menambahkan izin baru untuk mengizinkan Amazon FSx menjelaskan dan menulis ke CloudWatch Log log aliran.

Ini diperlukan agar pengguna dapat melihat log audit akses file FSx for Windows File Server CloudWatch Log.

8 Juni 2021

AmazonFSxServiceRolePolicy— Pembaruan ke kebijakan yang tersedia

Amazon FSx menambahkan izin baru untuk mengizinkan Amazon FSx dan menulis ke aliran pengiriman Amazon Kinesis Data Firehose.

Ini diperlukan agar pengguna dapat melihat log audit akses file FSx for Windows File Server menggunakan Amazon.

8 Juni 2021

AmazonFSxFullAccess— Pembaruan ke kebijakan yang tersedia

Amazon FSx menambahkan izin baru untuk mengizinkan Amazon FSx x dan membuat CloudWatch Log grup log, aliran log, dan menulis peristiwa untuk aliran log.

Ini diperlukan agar prinsipal dapat melihat log audit akses file FSx for Windows File Server CloudWatch Log.

8 Juni 2021

AmazonFSxFullAccess— Pembaruan ke kebijakan yang tersedia

Amazon FSx menambahkan izin baru untuk mengizinkan Amazon FSx dan menulis catatan ke Amazon Kinesis Data Firehose.

Ini diperlukan agar pengguna dapat melihat log audit akses file FSx for Windows File Server menggunakan Amazon.

8 Juni 2021

AmazonFSxConsoleFullAccess— Pembaruan ke kebijakan yang tersedia

Amazon FSx menambahkan izin baru untuk mengizinkan Amazon FSx x x x x x x x dan Amazon FSx menambahkan izin baru untuk CloudWatch Log grup log yang terkait dengan akun yang membuat permintaan.

Hal ini diperlukan agar prinsipal dapat memilih yang sudah ada CloudWatch Log log grup saat mengonfigurasi akses file untuk sistem file Server File Windows.

8 Juni 2021

AmazonFSxConsoleFullAccess— Pembaruan ke kebijakan yang tersedia

Amazon FSx menambahkan izin baru untuk mengizinkan prinsipal utama menjelaskan aliran pengiriman Amazon Kinesis Data Firehose yang terkait dengan akun yang membuat permintaan.

Ini diperlukan agar prinsipal utama dapat memilih aliran pengiriman Kinesis Data Firehose yang ada ketika mengonfigurasi akses file yang mengaudit sistem file FSx for Windows File Server.

8 Juni 2021

AmazonFSxConsoleReadOnlyAccess— Pembaruan ke kebijakan yang tersedia

Amazon FSx menambahkan izin baru untuk mengizinkan Amazon FSx x x x x x x x dan Amazon FSx menambahkan izin baru untuk CloudWatch Log grup log yang terkait dengan akun yang membuat permintaan.

Ini diperlukan agar prinsipal dapat melihat konfigurasi audit akses file FSx for Windows File Server.

8 Juni 2021

AmazonFSxConsoleReadOnlyAccess— Pembaruan ke kebijakan yang tersedia

Amazon FSx menambahkan izin baru untuk mengizinkan prinsipal utama menjelaskan aliran pengiriman Amazon Kinesis Data Firehose yang terkait dengan akun yang membuat permintaan.

Ini diperlukan agar prinsipal dapat melihat konfigurasi audit akses file FSx for Windows File Server.

8 Juni 2021

Amazon FSx mulai melacak perubahan

Amazon FSx mulai melacak perubahan untuk kebijakan terkelola AWS miliknya.

8 Juni 2021