Kontrol Akses untuk Konsol Snow Family dan Membuat Tugas - AWS Snowball Edge Panduan Pengembang
Gambaran Umum Pengelolaan AksesAWS Kebijakan -Managed (Predefined) untuk Edge AWS Snowball

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol Akses untuk Konsol Snow Family dan Membuat Tugas

Seperti semua AWS layanan, akses ke AWS Snowball memerlukan kredensil yang AWS dapat digunakan untuk mengautentikasi permintaan Anda. Kredensi tersebut harus memiliki izin untuk mengakses AWS sumber daya, seperti bucket Amazon S3 atau fungsi. AWS Lambda AWS Snowball berbeda dalam dua cara:

  1. Pekerjaan di AWS Snowball tidak memiliki Nama Sumber Daya Amazon (ARN).

  2. Kontrol akses fisik dan jaringan untuk perangkat on-premise adalah tanggung jawab Anda.

Lihat Identity and Access Management untuk AWS Snow Family detail tentang bagaimana Anda dapat menggunakan AWS Identity and Access Management (IAM) and Access Management (IAM) dan AWS Snowball untuk membantu mengamankan sumber daya Anda dengan mengontrol siapa yang dapat mengaksesnya di AWS Cloud, dan juga rekomendasi kontrol akses lokal.

Ikhtisar Mengelola Izin Akses ke Sumber Daya Anda di AWS Cloud

Setiap AWS sumber daya dimiliki oleh Akun AWS, dan izin untuk membuat atau mengakses sumber daya diatur oleh kebijakan izin. Administrator akun dapat melampirkan kebijakan izin ke identitas IAM (yaitu, pengguna, grup, dan peran), dan beberapa layanan (seperti AWS Lambda) juga mendukung melampirkan kebijakan izin ke sumber daya.

catatan

Administrator akun (atau pengguna administrator) adalah pengguna dengan hak akses administrator. Untuk informasi selengkapnya, lihat Praktik Terbaik IAM dalam Panduan Pengguna IAM.

Sumber Daya dan Operasi

Di AWS Snowball, sumber daya utama adalah pekerjaan. AWS Snowball juga memiliki perangkat seperti Snowball dan AWS Snowball Edge perangkat, namun, Anda hanya dapat menggunakan perangkat tersebut dalam konteks pekerjaan yang ada. Bucket Amazon S3 dan fungsi Lambda adalah sumber daya dari Amazon S3 dan Lambda.

Sebagaimana disebutkan sebelumnya, tugas yang tidak memiliki Amazon Resource Name (ARN) terkait dengannya. Namun, sumber daya layanan lain, seperti bucket Amazon S3, memang memiliki (ARN) unik yang terkait dengannya seperti yang ditunjukkan dalam tabel berikut.

Jenis Sumber Daya Format ARN
Bucket S3 arn:aws:s3:region:account-id:BucketName/ObjectName

AWS Snowball menyediakan serangkaian operasi untuk membuat dan mengelola pekerjaan. Untuk daftar operasi yang tersedia, lihat Referensi API AWS Snowball.

Memahami Kepemilikan Sumber Daya

Akun AWS Memiliki sumber daya yang dibuat di akun, terlepas dari siapa yang menciptakan sumber daya. Secara khusus, pemilik sumber daya adalah entitas utama (yaitu, akun root, pengguna IAM, atau peran IAM) yang mengautentikasi permintaan pembuatan sumber daya. Akun AWS Contoh berikut menggambarkan cara kerjanya:

  • Jika Anda menggunakan kredensi akun root Anda Akun AWS untuk membuat bucket S3, Anda Akun AWS adalah pemilik sumber daya (di AWS Snowball, sumber daya adalah pekerjaan).

  • Jika Anda membuat pengguna IAM di Anda Akun AWS dan memberikan izin untuk membuat pekerjaan untuk memesan perangkat Keluarga Salju kepada pengguna tersebut, pengguna dapat membuat pekerjaan untuk memesan perangkat Keluarga Salju. Namun, milik Anda Akun AWS, yang menjadi milik pengguna, memiliki sumber daya pekerjaan.

  • Jika Anda membuat peran IAM Akun AWS dengan izin untuk membuat pekerjaan, siapa pun yang dapat mengambil peran tersebut dapat membuat pekerjaan untuk memesan perangkat Keluarga Salju. Anda Akun AWS, yang menjadi milik peran itu, memiliki sumber daya pekerjaan.

Mengelola Akses ke Sumber Daya di AWS Cloud

Kebijakan izin menjelaskan siapa yang memiliki akses ke suatu objek. Bagian berikut menjelaskan opsi yang tersedia untuk membuat kebijakan izin.

catatan

Bagian ini membahas penggunaan IAM dalam konteks. AWS Snowball Bagian ini tidak memberikan informasi yang mendetail tentang layanan IAM. Untuk dokumentasi IAM lengkap, lihat Apa yang Dimaksud dengan IAM? dalam Panduan Pengguna IAM. Untuk informasi tentang sintaksis dan deskripsi kebijakan IAM, lihat Referensi Kebijakan IAM AWS dalam Panduan Pengguna IAM.

Kebijakan yang melekat pada identitas IAM disebut sebagai kebijakan berbasis identitas (kebijakan IAM) dan kebijakan yang melekat pada sumber daya disebut sebagai kebijakan berbasis sumber daya. AWS Snowball hanya mendukung kebijakan berbasis identitas (kebijakan IAM).

Kebijakan Berbasis Sumber Daya

Layanan lain, seperti Amazon S3, juga mendukung kebijakan izin berbasis sumber daya. Misalnya, Anda dapat melampirkan kebijakan ke bucket S3 untuk mengelola izin akses ke bucket tersebut. AWS Snowball tidak mendukung kebijakan berbasis sumber daya. 

Menentukan Elemen Kebijakan: Tindakan, Pengaruh, dan Prinsipal

Untuk setiap tugas (lihat Sumber Daya dan Operasi), layanan menentukan serangkaian operasi API (lihat Referensi API AWS Snowball) untuk membuat dan mengelola tugas tersebut. Untuk memberikan izin untuk operasi API ini, AWS Snowball tentukan serangkaian tindakan yang dapat Anda tentukan dalam kebijakan. Misalnya, untuk tugas, tindakan berikut ditentukan: CreateJob, CancelJob, dan DescribeJob. Perhatikan bahwa, melakukan operasi API dapat memerlukan izin untuk lebih dari satu tindakan.

Berikut ini adalah elemen-elemen kebijakan yang paling dasar:

  • Sumber daya – Dalam kebijakan, Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang diatur kebijakan. Untuk informasi selengkapnya, lihat Sumber Daya dan Operasi.

    catatan

    Ini didukung untuk Amazon S3, Amazon EC2, AWS KMS Lambda AWS , dan banyak layanan lainnya.

    Snowball tidak mendukung penentuan ARN sumber daya di elemen Resource dari pernyataan kebijakan IAM. Untuk memungkinkan akses ke Snowball, tentukan “Resource”: “*” dalam kebijakan Anda.

  • Tindakan – Anda menggunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak. Misalnya, tergantung pada Effect yang ditentukan, snowball:* mengizinkan atau menolak izin pengguna untuk melakukan semua operasi.

    catatan

    Hal ini didukung untuk Amazon EC2, Amazon S3, dan IAM.

  • Efek – Anda menentukan efek ketika pengguna meminta tindakan tertentu—baik mengizinkan maupun menolak. Jika Anda tidak secara eksplisit memberikan akses ke (mengizinkan) sumber daya, akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat mengaksesnya, meskipun ada akses memberikan kebijakan yang berbeda.

    catatan

    Hal ini didukung untuk Amazon EC2, Amazon S3, dan IAM.

  • Prinsipal – Dalam kebijakan berbasis identitas (kebijakan IAM), pengguna yang kebijakannya terlampir adalah prinsipal implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang ingin Anda terima izin (hanya berlaku untuk kebijakan berbasis sumber daya). AWS Snowball tidak mendukung kebijakan berbasis sumber daya.

Untuk mempelajari selengkapnya tentang sintaksis dan deskripsi kebijakan IAM, lihat Referensi Kebijakan IAM AWS dalam Panduan Pengguna IAM.

Untuk tabel yang menampilkan semua tindakan AWS Snowball API, lihatAWS Snowball Izin API: Referensi Tindakan, Sumber Daya, dan Ketentuan.

Menentukan Syarat dalam Kebijakan

Ketika Anda memberikan izin, Anda dapat menggunakan bahasa kebijakan IAM untuk menentukan kondisi ketika kebijakan harus berlaku. Misalnya, Anda mungkin ingin kebijakan diterapkan hanya setelah tanggal tertentu. Untuk informasi selengkapnya tentang menentukan kondisi dalam bahasa kebijakan, lihat Kondisi dalam Panduan Pengguna IAM.

Untuk menyatakan kondisi, Anda menggunakan kunci kondisi standar. Tidak ada kunci syarat khusus untuk AWS Snowball. Namun, ada tombol kondisi AWS-wide yang dapat Anda gunakan sesuai kebutuhan. Untuk daftar lengkap tombol AWS-wide, lihat Kunci yang Tersedia untuk Ketentuan di Panduan Pengguna IAM.

AWS Kebijakan -Managed (Predefined) untuk Edge AWS Snowball

AWS mengatasi banyak kasus penggunaan umum dengan menyediakan kebijakan IAM mandiri yang dibuat dan dikelola oleh. AWS Kebijakan terkelola memberikan izin yang diperlukan untuk kasus penggunaan umum sehingga Anda tidak perlu menyelidiki izin apa yang diperlukan. Untuk informasi selengkapnya, lihat Kebijakan Terkelola AWS dalam Panduan Pengguna IAM.

Anda dapat menggunakan kebijakan AWS-managed berikut dengan AWS Snowball.

Membuat Kebijakan IAM Role untuk Snowball Edge

Kebijakan IAM role harus dibuat dengan izin baca dan tulis untuk bucket Amazon S3 Anda. IAM role juga harus memiliki hubungan kepercayaan dengan Snowball. Memiliki hubungan kepercayaan berarti AWS dapat menulis data di Snowball dan di bucket Amazon S3 Anda, tergantung pada apakah Anda mengimpor atau mengekspor data.

Saat Anda membuat pekerjaan untuk memesan perangkat Keluarga Salju di Konsol Manajemen AWS Snow Family, membuat peran IAM yang diperlukan terjadi pada langkah 4 di bagian Izin. Proses ini otomatis. IAM role yang Anda izinkan Snowball untuk kendalikan hanya digunakan untuk menulis data Anda ke bucket Anda ketika Snowball dengan data yang ditransfer tiba di AWS. Prosedur berikut menguraikan proses tersebut.

Untuk membuat IAM role untuk tugas impor Anda

  1. Masuk ke AWS Management Console dan buka AWS Snowball konsol di https://console.aws.amazon.com/importexport/.

  2. Pilih Buat tugas.

  3. Pada langkah pertama, isi rincian untuk tugas impor Anda ke Amazon S3, lalu pilih Selanjutnya.

  4. Pada langkah kedua, di Izin, pilih Buat/Pilih IAM Role.

    Konsol Manajemen IAM terbuka, menunjukkan IAM role yang digunakan AWS untuk menyalin objek ke dalam bucket Amazon S3 yang Anda tentukan.

  5. Tinjau rincian di halaman ini, dan kemudian pilih Izinkan.

    Anda kembali ke Konsol Manajemen AWS Snow Family, di mana peran IAM yang dipilih ARN berisi Nama Sumber Daya Amazon (ARN) untuk peran IAM yang baru saja Anda buat.

  6. Pilih Selanjutnya untuk menyelesaikan pembuatan IAM role Anda.

Prosedur sebelumnya menciptakan IAM role yang memiliki izin menulis untuk bucket Amazon S3 yang Anda rencanakan untuk mengimpor data Anda ke dalamnya. IAM role yang dibuat memiliki salah satu struktur berikut, tergantung pada apakah itu untuk tugas impor atau tugas ekspor.

Peran IAM untuk Pekerjaan Impor


          {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListBucketMultipartUploads"
      ],
      "Resource": "arn:aws:s3:::*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketPolicy",
        "s3:PutObject",
        "s3:AbortMultipartUpload",
        "s3:ListMultipartUploadParts",
        "s3:PutObjectAcl",
        "s3:ListBucket",
        "s3:HeadBucket"
      ],
      "Resource": "arn:aws:s3:::*"
    }
  ]
}

Jika Anda menggunakan enkripsi sisi server dengan AWS KMS—managed keys (SSE-KMS) untuk mengenkripsi bucket Amazon S3 yang terkait dengan pekerjaan impor Anda, Anda juga perlu menambahkan pernyataan berikut ke peran IAM Anda.

{
     "Effect": "Allow",
     "Action": [
       "kms:GenerateDataKey"
     ],
     "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}

Jika ukuran objek lebih besar, klien Amazon S3 yang digunakan untuk proses impor menggunakan unggahan multipart. Jika Anda memulai unggahan multipart menggunakan SSE-KMS, maka semua bagian yang diunggah dienkripsi menggunakan kunci yang ditentukan. AWS KMS Karena komponen dienkripsi, komponen tersebut harus didekripsi sebelum dapat dirakit untuk menyelesaikan unggahan multipart. Jadi, Anda harus memiliki izin untuk mendekripsi AWS KMS key (kms:Decrypt) saat menjalankan unggahan multipart ke Amazon S3 dengan SSE-KMS.

Berikut ini adalah contoh IAM role yang diperlukan untuk tugas impor yang membutuhkan izin kms:Decrypt.

{
    "Effect": "Allow",
     "Action": [
       "kms:GenerateDataKey","kms:Decrypt"

     ],
     "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}

Berikut ini adalah contoh IAM role yang diperlukan untuk tugas ekspor.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:GetBucketPolicy",
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": "arn:aws:s3:::*"
    }
  ]
}

Jika Anda menggunakan enkripsi sisi server dengan kunci yang AWS KMS dikelola untuk mengenkripsi bucket Amazon S3 yang terkait dengan pekerjaan ekspor Anda, Anda juga perlu menambahkan pernyataan berikut ke peran IAM Anda.

{
     "Effect": "Allow",
     "Action": [
            “kms:Decrypt”
      ],
     "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}

Anda dapat membuat kebijakan IAM kustom Anda sendiri untuk mengizinkan izin operasi API untuk manajemen AWS Snowball pekerjaan. Anda dapat melampirkan kebijakan kustom ini ke pengguna IAM atau grup yang memerlukan izin tersebut.