Policy gestite dal cliente IAM perAWS DataSync - AWS DataSync

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Policy gestite dal cliente IAM perAWS DataSync

Oltre alle policyAWS gestite, puoi anche creare policy personalizzate basate sull'identità per le operazioniAWS DataSync API e collegarle alle identitàAWS Identity and Access Management (IAM) che richiedono tali autorizzazioni. Sono note come policy gestite dal cliente, ovvero policy autonome gestite dall'utente nel proprioAccount AWS.

Importante

Prima di iniziare, ti consigliamo di familiarizzare con i concetti di base e le opzioni per la gestione dell'accesso alleDataSync risorse. Per ulteriori informazioni, consulta Gestione degli accessi perAWS DataSync.

Panoramica delle policy personalizzate

L'esempio seguente è una politica che concede le autorizzazioni per l'utilizzo di determinateDataSync operazioni.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsSpecifiedActionsOnAllTasks", "Effect": "Allow", "Action": [ "datasync:DescribeTask", "datasync:ListTasks" ], "Resource": "arn:aws:datasync:us-east-2:111222333444:task/*" }, }

La politica ha una dichiarazione (nota iAction eResource gli elementi della dichiarazione) che fa quanto segue:

  • Concede le autorizzazioni per eseguire dueDataSync azioni (datasync:DescribeTaskedatasync:ListTasks) su determinate risorse di attività utilizzando un Amazon Resource Name (ARN).

  • Specifica un carattere jolly (*) nell'ARN dell'attività perché il ruolo IAM può eseguire le due azioni su tutte le attività. Per limitare le autorizzazioni per le azioni a un'attività specifica, specifica l'ID dell'attività anziché il carattere jolly in tale istruzione.

Esempi di policy personalizzate

Le policy utente di esempio seguenti concedono le autorizzazioni per varieDataSync operazioni. Le policy funzionano se utilizzi gliAWS SDK oAWS Command Line Interface (AWS CLI). Per utilizzare questi criteri nella console, è necessario utilizzare anche i criteri gestitiAWSDataSyncFullAccess.

Esempio 1: crea una relazione di fiducia cheDataSync consenta di accedere al bucket Amazon S3

Quello seguente è un esempio di policy di trust che consente a DataSync di assumere un ruolo IAM. Questo ruolo consente l'accessoDataSync a un bucket Amazon S3. Per evitare il problema del sostituto confuso tra servizi, si consiglia di utilizzare le chiavi contestuali aws:SourceArne aws:SourceAccountglobali della condizione nella politica.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "datasync.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "StringLike": { "aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*" } } } ] }

Esempio 2:DataSync consenti la lettura e la scrittura nel bucket Amazon S3

La seguente politica di esempio concedeDataSync le autorizzazioni minime per leggere e scrivere dati nel bucket S3.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetBucketLocation", "s3:ListBucket", "s3:ListBucketMultipartUploads" ], "Effect": "Allow", "Resource": "YourS3BucketArn" }, { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:GetObject", "s3:ListMultipartUploadParts", "s3:GetObjectTagging", "s3:PutObjectTagging", "s3:PutObject" ], "Effect": "Allow", "Resource": "YourS3BucketArn/*" } ] }

Esempio 3: ConsentiDataSync il caricamento dei log nei gruppi diCloudWatch log

DataSyncrichiede le autorizzazioni per poter caricare i log nei tuoi gruppi diCloudWatch log Amazon. Puoi utilizzare i gruppi diCloudWatch log per monitorare ed eseguire il debug delle tue attività.

Per un esempio di policy IAM che concede tali autorizzazioni, vediDataSyncConsentire il caricamento di registri in gruppi diCloudWatch log.