Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan Kebijakan Berbasis Identitas (Kebijakan IAM) untuk AWS Snowball
Topik ini memberikan contoh kebijakan berbasis identitas yang mendemonstrasikan cara administrator akun dapat melampirkan kebijakan izin ke identitas IAM (yaitu, pengguna, grup, dan peran). Kebijakan ini dengan demikian memberikan izin untuk melakukan operasi pada AWS Snowball sumber daya di. AWS Cloud
penting
Kami menyarankan Anda untuk terlebih dahulu meninjau topik pendahuluan yang menjelaskan konsep dasar dan pilihan yang tersedia untuk mengelola akses ke sumber daya AWS Snowball Anda. Untuk informasi selengkapnya, lihat Ikhtisar Mengelola Izin Akses ke Sumber Daya Anda di AWS Cloud.
Bagian dalam topik ini membahas hal berikut:
Berikut adalah contoh kebijakan izin.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*", "importexport:*" ], "Resource": "*" } ] }
Kebijakan ini memiliki dua pernyataan:
-
Pernyataan pertama memberikan izin untuk tiga tindakan Amazon S3 (
s3:GetBucketLocation,s3:GetObject, dans3:ListBucket) di semua bucket Amazon S3 menggunakan Amazon Resource Name (ARN) dariarn:aws:s3:::*. ARN menentukan karakter wildcard (*) sehingga pengguna dapat memilih salah satu atau semua bucket Amazon S3 yang menjadi tempat untuk mengekspor data. -
Pernyataan kedua memberikan izin untuk semua AWS Snowball tindakan. Karena tindakan ini tidak mendukung izin tingkat sumber daya, kebijakan menentukan karakter wildcard (*) dan nilai
Resourcejuga menentukan karakter wild card.
Kebijakan tidak menyebutkan elemen Principal karena dalam kebijakan berbasis identitas, Anda tidak menyebutkan penanggung jawab yang mendapatkan izin. Saat Anda melampirkan kebijakan kepada pengguna, pengguna adalah penanggung jawab implisit. Saat Anda melampirkan kebijakan izin pada IAM role, prinsipal yang diidentifikasi dalam kebijakan kepercayaan peran tersebut mendapatkan izin.
Untuk tabel yang menunjukkan semua tindakan API manajemen AWS Snowball pekerjaan dan sumber daya yang diterapkan, lihatAWS Snowball Izin API: Referensi Tindakan, Sumber Daya, dan Ketentuan.
Izin Diperlukan untuk Menggunakan Konsol AWS Snowball
Tabel referensi izin mencantumkan operasi API manajemen AWS Snowball pekerjaan dan menunjukkan izin yang diperlukan untuk setiap operasi. Untuk informasi selengkapnya tentang operasi API manajemen tugas, lihat AWS Snowball Izin API: Referensi Tindakan, Sumber Daya, dan Ketentuan.
Untuk menggunakan Konsol Manajemen AWS Snow Family, Anda perlu memberikan izin untuk tindakan tambahan seperti yang ditunjukkan dalam kebijakan izin berikut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetBucketPolicy", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListAllMyBuckets" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "lambda:GetFunction", "lambda:GetFunctionConfiguration" ], "Resource": "arn:aws:lambda:*::function:*" }, { "Effect": "Allow", "Action": [ "lambda:ListFunctions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:GenerateDataKey", "kms:Decrypt", "kms:Encrypt", "kms:RetireGrant", "kms:ListKeys", "kms:DescribeKey", "kms:ListAliases" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreatePolicy", "iam:CreateRole", "iam:ListRoles", "iam:ListRolePolicies", "iam:PutRolePolicy" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "importexport.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:ModifyImageAttribute" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:ListTopics", "sns:GetTopicAttributes", "sns:SetTopicAttributes", "sns:ListSubscriptionsByTopic", "sns:Subscribe" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "greengrass:getServiceRoleForAccount" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] } ] }
AWS Snowball Konsol memerlukan izin tambahan ini karena alasan berikut:
-
ec2:— Ini memungkinkan pengguna untuk mendeskripsikan instans yang kompatibel dengan Amazon EC2 dan memodifikasi atributnya untuk tujuan komputasi lokal. Untuk informasi selengkapnya, lihat Menggunakan instans komputasi yang kompatibel dengan Amazon EC2. -
kms:– Ini memungkinkan pengguna untuk membuat atau memilih kunci KMS yang akan mengenkripsi data Anda. Untuk informasi selengkapnya, lihat AWS Key Management Service di AWS Snowball Edge. -
iam:— Ini memungkinkan pengguna untuk membuat atau memilih peran IAM ARN yang akan mengasumsikan untuk mengakses AWS sumber daya AWS Snowball yang terkait dengan penciptaan dan pemrosesan lapangan kerja. -
sns:– Ini memungkinkan pengguna untuk membuat atau memilih notifikasi Amazon SNS untuk tugas yang mereka buat. Untuk informasi selengkapnya, lihat Pemberitahuan untuk perangkat Keluarga Salju.
