Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan IAM secara lokal di Snowball Edge
AWS Identity and Access Management (IAM) membantu Anda mengontrol akses ke AWS sumber daya yang berjalan di perangkat AWS Snowball Edge dengan aman. Anda menggunakan IAM untuk mengontrol siapa yang dapat terautentikasi (masuk) dan berwenang (memiliki izin) untuk menggunakan sumber daya.
IAM didukung secara lokal di perangkat Anda. Anda dapat menggunakan layanan IAM lokal untuk membuat pengguna baru dan melampirkannya kebijakan IAM. Anda dapat menggunakan kebijakan ini untuk mengizinkan akses yang diperlukan untuk melakukan tugas yang ditetapkan. Misalnya, Anda dapat memberi pengguna kemampuan untuk mentransfer data, tetapi membatasi kemampuan mereka untuk membuat instance baru EC2 yang kompatibel dengan Amazon.
Selain itu, Anda dapat membuat kredenal lokal berbasis sesi menggunakan AWS Security Token Service (AWS STS) di perangkat Anda. Untuk informasi tentang layanan IAM, lihat Memulai dalam Panduan Pengguna IAM.
Kredensi root perangkat Anda tidak dapat dinonaktifkan, dan Anda tidak dapat menggunakan kebijakan dalam akun Anda untuk secara eksplisit menolak akses ke pengguna root. Akun AWS Kami merekomendasikan Anda mengamankan access key pengguna root Anda dan membuat kredensial pengguna IAM untuk interaksi sehari-hari dengan perangkat Anda.
penting
Dokumentasi di bagian ini berlaku untuk menggunakan IAM secara lokal pada perangkat AWS Snowball Edge. Untuk informasi tentang menggunakan IAM di AWS Cloud, lihatIdentity and Access Management di AWS Snowball.
Agar AWS layanan berfungsi dengan baik di Snowball Edge, Anda harus mengizinkan port untuk layanan tersebut. Untuk detailnya, lihat Persyaratan port untuk AWS layanan di Snowball Edge.
Topik
Menggunakan Operasi AWS CLI dan API di Snowball Edge
Saat menggunakan operasi AWS CLI atau API untuk mengeluarkan perintah IAM AWS STS, Amazon S3, dan EC2 Amazon di Snowball Edge, Anda harus menentukan region
sebagai ".” snow
Anda dapat melakukan ini menggunakan aws configure
atau di dalam perintah itu sendiri, seperti pada contoh berikut.
aws configure --profile abc AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE AWS Secret Access Key [None]: 1234567 Default region name [None]: snow Default output format [None]: json
Atau
aws iam list-users --profile snowballEdge --endpoint http://192.0.2.0:6078 --region snow
catatan
ID kunci akses dan kunci rahasia akses yang digunakan secara lokal di AWS Snowball Edge tidak dapat dipertukarkan dengan kunci di. AWS Cloud
Daftar AWS CLI Perintah IAM yang Didukung di Tepi Snowball
Berikut ini adalah deskripsi subset AWS CLI perintah dan opsi untuk IAM yang didukung pada perangkat Snowball Edge. Jika perintah atau opsi tidak tercantum berikut, perintah tersebut tidak didukung. Parameter yang tidak didukung untuk perintah tertulis di deskripsi.
-
attach-role-policy— Melampirkan kebijakan terkelola yang ditentukan ke peran IAM yang ditentukan.
-
attach-user-policy— Melampirkan kebijakan terkelola yang ditentukan ke pengguna yang ditentukan.
-
create-access-key— Membuat kunci akses rahasia IAM lokal baru dan ID kunci AWS akses yang sesuai untuk pengguna yang ditentukan.
-
create-policy – Membuat kebijakan terkelola IAM baru untuk perangkat Anda.
-
create-role – Membuat peran IAM role baru untuk perangkat Anda. Parameter berikut ini tidak didukung:
-
Tags
-
PermissionsBoundary
-
-
create-user – Membuat pengguna IAM lokal baru untuk perangkat Anda. Parameter berikut ini tidak didukung:
-
Tags
-
PermissionsBoundary
-
-
delete-access-key— Menghapus kunci akses rahasia IAM lokal baru dan ID kunci AWS akses yang sesuai untuk pengguna yang ditentukan.
-
delete-policy – Menghapus kebijakan terkelola yang ditentukan.
-
delete-role – Menghapus peran tertentu.
-
delete-user – Menghapus pengguna tertentu.
-
detach-role-policy— Menghapus kebijakan terkelola yang ditentukan dari peran yang ditentukan.
-
detach-user-policy— Menghapus kebijakan terkelola yang ditentukan dari pengguna yang ditentukan.
-
get-policy – Mengambil informasi tentang kebijakan terkelola yang ditentukan, termasuk versi default kebijakan dan jumlah total pengguna IAM lokal, grup, dan peran yang dilampirkan kebijakan.
-
get-policy-version— Mengambil informasi tentang versi tertentu dari kebijakan terkelola yang ditentukan, termasuk dokumen kebijakan.
-
get-role – Mengambil informasi tentang peran tertentu, termasuk jalur peran, GUID, ARN, dan kebijakan kepercayaan peran yang memberikan izin untuk mengambil peran.
-
get-user – Mengambil informasi tentang pengguna IAM tertentu, termasuk tanggal pembuatan pengguna, jalur, ID unik, dan ARN.
-
list-access-keys— Mengembalikan informasi tentang kunci akses IDs yang terkait dengan pengguna IAM tertentu.
-
list-attached-role-policies— Daftar semua kebijakan terkelola yang dilampirkan ke peran IAM yang ditentukan.
-
list-attached-user-policies— Daftar semua kebijakan terkelola yang dilampirkan ke pengguna IAM yang ditentukan.
-
list-entities-for-policy— Daftar semua pengguna, grup, dan peran IAM lokal yang dilampirkan pada kebijakan terkelola yang ditentukan.
-
--EntityFilter
: Hanya nilaiuser
danrole
yang didukung.
-
-
daftar-kebijakan — Daftar semua kebijakan terkelola yang tersedia di lokal Anda. Akun AWS Parameter berikut ini tidak didukung:
-
--PolicyUsageFilter
-
-
list-roles – Mencantumkan IAM role lokal yang memiliki prefiks jalur yang ditentukan.
-
list-users – Mencantumkan pengguna IAM yang memiliki prefiks jalur yang ditentukan.
-
update-access-key— Mengubah status kunci akses yang ditentukan dari Aktif ke Tidak Aktif, atau sebaliknya.
-
update-assume-role-policy— Memperbarui kebijakan yang memberikan izin entitas IAM untuk mengambil peran.
-
update-role – Memperbarui deskripsi atau pengaturan durasi sesi maksimum dari peran.
-
update-user – Memperbarui nama dan/atau jalur pengguna IAM yang ditentukan.
Operasi IAM API yang didukung di Snowball Edge
Berikut ini adalah operasi IAM API yang dapat Anda gunakan dengan Snowball Edge, dengan tautan ke deskripsi mereka dalam Referensi IAM API.
-
AttachRolePolicy— Melampirkan kebijakan terkelola yang ditentukan ke peran IAM yang ditentukan.
-
AttachUserPolicy— Melampirkan kebijakan terkelola yang ditentukan ke pengguna yang ditentukan.
-
CreateAccessKey— Membuat kunci akses rahasia IAM lokal baru dan ID kunci AWS akses yang sesuai untuk pengguna yang ditentukan.
-
CreatePolicy— Membuat kebijakan terkelola IAM baru untuk perangkat Anda.
-
CreateRole— Membuat peran IAM lokal baru untuk perangkat Anda.
-
CreateUser— Membuat pengguna IAM lokal baru untuk perangkat Anda.
Parameter berikut ini tidak didukung:
-
Tags
-
PermissionsBoundary
-
-
DeleteAccessKey— Menghapus kunci akses yang ditentukan.
-
DeletePolicy— Menghapus kebijakan terkelola yang ditentukan.
-
DeleteRole— Menghapus peran yang ditentukan.
-
DeleteUser— Menghapus pengguna yang ditentukan.
-
DetachRolePolicy— Menghapus kebijakan terkelola yang ditentukan dari peran yang ditentukan.
-
DetachUserPolicy— Menghapus kebijakan terkelola yang ditentukan dari pengguna yang ditentukan.
-
GetPolicy— Mengambil informasi tentang kebijakan terkelola yang ditentukan, termasuk versi default kebijakan dan jumlah total pengguna, grup, dan peran IAM lokal yang dilampirkan kebijakan tersebut.
-
GetPolicyVersion— Mengambil informasi tentang versi tertentu dari kebijakan terkelola yang ditentukan, termasuk dokumen kebijakan.
-
GetRole— Mengambil informasi tentang peran yang ditentukan, termasuk jalur peran, GUID, ARN, dan kebijakan kepercayaan peran yang memberikan izin untuk mengambil peran tersebut.
-
GetUser— Mengambil informasi tentang pengguna IAM yang ditentukan, termasuk tanggal pembuatan pengguna, jalur, ID unik, dan ARN.
-
ListAccessKeys— Mengembalikan informasi tentang kunci akses IDs yang terkait dengan pengguna IAM tertentu.
-
ListAttachedRolePolicies— Daftar semua kebijakan terkelola yang dilampirkan ke peran IAM yang ditentukan.
-
ListAttachedUserPolicies— Daftar semua kebijakan terkelola yang dilampirkan ke pengguna IAM yang ditentukan.
-
ListEntitiesForPolicy— Mengambil informasi tentang pengguna IAM yang ditentukan, termasuk tanggal pembuatan pengguna, jalur, ID unik, dan ARN.
-
--EntityFilter
: Hanya nilaiuser
danrole
yang didukung.
-
-
ListPolicies— Daftar semua kebijakan terkelola yang tersedia di lokal Anda Akun AWS. Parameter berikut ini tidak didukung:
-
--PolicyUsageFilter
-
-
ListRoles— Daftar peran IAM lokal yang memiliki awalan jalur yang ditentukan.
-
ListUsers— Daftar pengguna IAM yang memiliki awalan jalur yang ditentukan.
-
UpdateAccessKey— Mengubah status kunci akses yang ditentukan dari Aktif ke Tidak Aktif, atau sebaliknya.
-
UpdateAssumeRolePolicy— Memperbarui kebijakan yang memberikan izin entitas IAM untuk mengambil peran.
-
UpdateRole— Memperbarui deskripsi atau pengaturan durasi sesi maksimum peran.
-
UpdateUser— Memperbarui nama dan/atau jalur pengguna IAM yang ditentukan.
Versi kebijakan dan tata bahasa IAM yang didukung di Snowball Edge
Berikut ini adalah versi dukungan IAM lokal 17-10-2012 dari kebijakan IAM dan subset dari tata bahasa kebijakan.
Jenis kebijakan | Tata bahasa yang didukung |
---|---|
Kebijakan berbasis identitas (kebijakan pengguna/peran) | "Effect ", "Action " dan "Resource " catatanIAM lokal tidak mendukung " |
Kebijakan berbasis sumber daya (kebijakan kepercayaan peran) | "Effect ", "Action " dan "Principal " catatanUntuk Principal, hanya Akun AWS ID atau ID pokok yang diizinkan. |
Contoh kebijakan IAM di Snowball Edge
catatan
AWS Identity and Access Management (IAM) pengguna memerlukan "snowballdevice:*"
izin untuk menggunakan AWS OpsHub for Snow Family aplikasi untuk mengelola Snowball Edge.
Berikut ini adalah contoh kebijakan yang memberikan izin untuk perangkat Snowball Edge.
Mengizinkan GetUser panggilan untuk pengguna sampel di Snowball Edge melalui IAM API
Gunakan kebijakan berikut untuk mengizinkan GetUser panggilan bagi pengguna sampel melalui IAM API.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "iam:GetUser", "Resource": "arn:aws:iam:::user/
example-user
" } ] }
Mengizinkan akses penuh ke Amazon S3 API di Snowball Edge
Gunakan kebijakan berikut untuk mengizinkan akses penuh ke Amazon S3 API.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "s3:*", "Resource": "*" } ] }
Mengizinkan akses baca dan tulis ke ember Amazon S3 di Snowball Edge
Gunakan kebijakan berikut ini untuk mengizinkan akses baca dan tulis ke bucket tertentu.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListObjectsInBucket", "Effect": "Allow", "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::bucket-name" }, { "Sid": "AllObjectActions", "Effect": "Allow", "Action": "s3:*Object", "Resource": "arn:aws:s3:::bucket-name/*" } ] }
Mengizinkan daftar, dapatkan, dan pasang akses ke bucket Amazon S3 di Snowball Edge
Gunakan kebijakan berikut untuk mengizinkan Akses List, Get, dan Put ke bucket S3 tertentu.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:List*" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*" } ] }
Mengizinkan akses penuh ke Amazon EC2 API di Snowball Edge
Gunakan kebijakan berikut untuk mengizinkan akses penuh ke Amazon EC2.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:*", "Resource": "*" } ] }
Mengizinkan akses untuk memulai dan menghentikan instans EC2 yang kompatibel dengan Amazon di Snowball Edge
Gunakan kebijakan berikut untuk mengizinkan akses memulai dan menghentikan EC2 instans Amazon.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances" ], "Resource": "*" } ] }
Menolak panggilan ke DescribeLaunchTemplates tetapi mengizinkan semua panggilan ke DescribeImages Snowball Edge
Gunakan kebijakan berikut untuk menolak panggilan ke DescribeLaunchTemplates
tetapi izinkan semua panggilan ke DescribeImages
.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ec2:DescribeLaunchTemplates" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages" ], "Resource": "*" } ] }
Kebijakan untuk panggilan API di Snowball Edge
Daftar semua kebijakan terkelola yang tersedia di perangkat Snow Anda, termasuk kebijakan terkelola yang ditentukan pelanggan Anda sendiri. Detail lebih lanjut dalam daftar kebijakan.
aws iam list-policies --endpoint http://
ip-address
:6078 --profile snowballEdge --region snow { "Policies": [ { "PolicyName": "Administrator", "Description": "Root user admin policy for Account 123456789012", "CreateDate": "2020-03-04T17:44:59.412Z", "AttachmentCount": 1, "IsAttachable": true, "PolicyId": "policy-id
", "DefaultVersionId": "v1", "Path": "/", "Arn": "arn:aws:iam::123456789012:policy/Administrator", "UpdateDate": "2020-03-04T19:10:45.620Z" } ] }
TrustPolicy contoh di Snowball Edge
Kebijakan kepercayaan mengembalikan serangkaian kredensial keamanan sementara yang dapat Anda gunakan untuk mengakses AWS sumber daya yang biasanya tidak dapat Anda akses. Kredensial sementara ini terdiri dari access key ID, secret access key, dan token keamanan. Biasanya, Anda menggunakan AssumeRole
di akun Anda untuk akses lintas akun.
Berikut ini adalah contoh kebijakan kepercayaan. Untuk informasi selengkapnya tentang kebijakan kepercayaan, lihat AssumeRoledi Referensi AWS Security Token Service API.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::
AccountId
:root" //You can use the Principal ID instead of the account ID. ] }, "Action": [ "sts:AssumeRole" ] } ] }