Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di policy basate su identità (policy IAM) per Storage Gateway
In questo argomento vengono forniti esempi di policy basate su identità in cui un amministratore account può collegare policy di autorizzazione a identità IAM, ovvero utenti, gruppi e ruoli.
Importante
Innanzitutto, è consigliabile esaminare gli argomenti introduttivi in cui vengono spiegati i concetti di base e le opzioni disponibili per gestire l'accesso alle risorse Storage Gateway. Per ulteriori informazioni, consultare Panoramica sulla gestione delle autorizzazioni di accesso a Storage Gateway.
In questa sezione vengono trattati gli argomenti seguenti:
Di seguito viene illustrato un esempio di policy di autorizzazione.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsSpecifiedActionsOnAllGateways", "Effect": "Allow", "Action": [ "storagegateway:ActivateGateway", "storagegateway:ListGateways" ], "Resource": "*" }, { "Sid": "AllowsSpecifiedEC2ActionsOnAllGateways", "Effect": "Allow", "Action": [ "ec2:DescribeSnapshots", "ec2:DeleteSnapshot" ], "Resource": "*" } ] }
La policy include due istruzioni. Nota gli elementi Action e Resource in entrambe le istruzioni:
-
La prima istruzione concede le autorizzazioni per due operazioni Storage Gateway (
storagegateway:ActivateGatewayestoragegateway:ListGateways) su una risorsa gateway.Il carattere jolly (*) significa che questa istruzione può corrispondere a qualsiasi risorsa. In questo caso, la dichiarazione consente la
storagegateway:ActivateGatewayestoragegateway:ListGatewaysazioni su qualsiasi gateway. Qui viene utilizzato il carattere jolly perché non si conosce l'ID risorsa finché non crei il gateway. Per informazioni su come usare un carattere jolly (*) in una policy, consulta Esempio 2: Consentire l'accesso in sola lettura a un gateway.Nota
Gli ARN identificano in modo univocoAWSrisorse AWS. Per ulteriori informazioni, consulta Amazon Resource Name (ARN) e Spazi dei nomi del servizio AWS nei AWS Riferimenti generali.
Per limitare le autorizzazioni per una determinata operazione su un solo gateway specifico, crea un'istruzione separata per l'operazione nella policy e indica l'ID gateway nell'istruzione.
-
La seconda istruzione concede le autorizzazioni per le operazioni
ec2:DescribeSnapshotseec2:DeleteSnapshot. Queste operazioni Amazon Elastic Compute Cloud (Amazon EC2) richiedono autorizzazioni perché le snapshot generate da Storage Gateway vengono archiviate in Amazon Elastic Block Store (Amazon EBS) e gestite come risorse Amazon EC2 e di conseguenza richiedono operazioni EC2 corrispondenti. Per ulteriori informazioni, consultaOperazioninellaInformazioni di riferimento all'API di Amazon EC2. Poiché queste operazioni Amazon EC2 non supportano le autorizzazioni a livello di risorsa, la policy specifica il carattere jolly (*) comeResourcevalore invece di specificare un gateway ARN.
Per una tabella che mostra tutte le operazioni API di Storage Gateway e le risorse a cui si applicano, consultaAutorizzazioni API Storage Gateway: Riferimento a operazioni, risorse e condizioni.
Autorizzazioni necessarie per l'uso della console Storage Gateway
Per utilizzare la console Storage Gateway, devi concedere autorizzazioni di sola lettura. Se prevedi di descrivere snapshot, devi anche concedere autorizzazioni per operazioni aggiuntive, come mostrato nella policy di autorizzazioni seguente:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsSpecifiedEC2ActionOnAllGateways", "Effect": "Allow", "Action": [ "ec2:DescribeSnapshots" ], "Resource": "*" } ] }
Questa autorizzazione aggiuntiva è necessaria perché gli snapshot Amazon EBS generati da Storage Gateway vengono gestiti come risorse Amazon EC2.
Per configurare le autorizzazioni minime necessarie per passare alla console Storage Gateway, consultaEsempio 2: Consentire l'accesso in sola lettura a un gateway.
AWSpolicy gestite per Storage Gateway
Amazon Web Services gestisce molti casi di utilizzo comune con policy IAM autonome create e amministrate daAWS. Le policy gestite concedono le autorizzazioni necessarie per i casi di utilizzo comune in modo da non dover cercare quali sono le autorizzazioni richieste. Per ulteriori informazioni suAWSpolicy gestite, consultaAWSPolicy gestitenellaIAM User Guide.
I seguentiAWSLe policy gestite da, che puoi collegare agli utenti nel tuo account, sono specifiche di Storage Gateway:
-
AWSStorageGatewayReadOnlyAccess: concede accesso in sola lettura a risorse AWS Storage Gateway.
-
AWSStorageGatewayFullAccess: concede accesso completo a risorse AWS Storage Gateway.
Nota
Per esaminare queste policy di autorizzazione, accedi alla console IAM ed esegui la ricerca delle policy specifiche.
Puoi anche creare policy IAM personalizzate per concedere autorizzazioni per operazioni API AWS Storage Gateway. Puoi collegare queste policy personalizzate agli utenti o ai gruppi IAM che richiedono le autorizzazioni.
Esempi di policy gestite dal cliente
In questa sezione vengono mostrate policy utente di esempio che concedono autorizzazioni per diverse operazioni Storage Gateway. Queste policy funzionano quando usiAWSSDK e il fileAWS CLI. Se utilizzi la console, sarà necessario concedere autorizzazioni aggiuntive specifiche per quest'ultima, come illustrato in Autorizzazioni necessarie per l'uso della console Storage Gateway.
Nota
Tutti gli esempi utilizzano la regione Stati Uniti occidentali (Oregon) (us-west-2) e contengono ID account fittizi.
Argomenti
- Esempio 1: Consenti qualsiasi azione Storage Gateway su tutti i gateway
- Esempio 2: Consentire l'accesso in sola lettura a un gateway
- Esempio 3: Consentire l'accesso a un gateway specifico
- Esempio 4: Consentire a un utente di accedere a un volume specifico
- Esempio 5: Consenti tutte le azioni sui gateway con un prefisso specifico
Esempio 1: Consenti qualsiasi azione Storage Gateway su tutti i gateway
La policy seguente permette a un utente di eseguire tutte le operazioni Storage Gateway. La policy permette inoltre all'utente di eseguire operazioni Amazon EC2 (DescribeSnapshotseDeleteSnapshot) sugli snapshot Amazon EBS generati da Storage Gateway.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsAllAWSStorageGatewayActions", "Action": [ "storagegateway:*" ], "Effect": "Allow", "Resource": "*" }, {You can use Windows ACLs only with file shares that are enabled for Active Directory. "Sid": "AllowsSpecifiedEC2Actions", "Action": [ "ec2:DescribeSnapshots", "ec2:DeleteSnapshot" ], "Effect": "Allow", "Resource": "*" } ] }
Esempio 2: Consentire l'accesso in sola lettura a un gateway
La policy seguente permette tutte le operazioni List* e Describe* su tutte le risorse. Tieni presente che queste operazioni sono di sola lettura. Di conseguenza, la policy non permette all'utente di modificare lo stato di alcuna risorsa, ovvero non permette all'utente di eseguire operazioni come DeleteGateway, ActivateGateway e ShutdownGateway.
La policy permette anche l'operazione Amazon EC2 DescribeSnapshots. Per ulteriori informazioni, consultaDescribeSnapshotsnellaInformazioni di riferimento all'API di Amazon EC2.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowReadOnlyAccessToAllGateways", "Action": [ "storagegateway:List*", "storagegateway:Describe*" ], "Effect": "Allow", "Resource": "*" }, { "Sid": "AllowsUserToDescribeSnapshotsOnAllGateways", "Action": [ "ec2:DescribeSnapshots" ], "Effect": "Allow", "Resource": "*" } ] }
Invece di usare un carattere jolly (*) nella policy precedente, puoi definire l'ambito delle risorse gestite dalla policy in base a un gateway specifico, come mostrato nell'esempio seguente. La policy permette quindi le operazioni solo sul gateway specifico.
"Resource": [ "arn:aws:storagegateway:us-west-2:123456789012:gateway/gateway-id/", "arn:aws:storagegateway:us-west-2:123456789012:gateway/gateway-id/*" ]
All'interno di un gateway puoi limitare ulteriormente l'ambito delle risorse ai soli volumi del gateway, come mostrato nell'esempio seguente:
"Resource": "arn:aws:storagegateway:us-west-2:123456789012:gateway/gateway-id/volume/*"
Esempio 3: Consentire l'accesso a un gateway specifico
La policy seguente permette tutte le operazioni su un gateway specifico. All'utente non è consentito accedere ad altri gateway che potresti aver distribuito.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowReadOnlyAccessToAllGateways", "Action": [ "storagegateway:List*", "storagegateway:Describe*" ], "Effect": "Allow", "Resource": "*" }, { "Sid": "AllowsUserToDescribeSnapshotsOnAllGateways", "Action": [ "ec2:DescribeSnapshots" ], "Effect": "Allow", "Resource": "*" }, { "Sid": "AllowsAllActionsOnSpecificGateway", "Action": [ "storagegateway:*" ], "Effect": "Allow", "Resource": [ "arn:aws:storagegateway:us-west-2:123456789012:gateway/gateway-id/", "arn:aws:storagegateway:us-west-2:123456789012:gateway/gateway-id/*" ] } ] }
La policy precedente funziona se l'utente cui è collegata usa l'API o unAWSSDK per accedere al gateway. Tuttavia, se l'utente userà la console Storage Gateway, devi anche concedere le autorizzazioni necessarie per permettere ilListGatewaysaction, come mostrato nell'esempio seguente.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsAllActionsOnSpecificGateway", "Action": [ "storagegateway:*" ], "Effect": "Allow", "Resource": [ "arn:aws:storagegateway:us-west-2:123456789012:gateway/gateway-id/", "arn:aws:storagegateway:us-west-2:123456789012:gateway/gateway-id/*" ] }, { "Sid": "AllowsUserToUseAWSConsole", "Action": [ "storagegateway:ListGateways" ], "Effect": "Allow", "Resource": "*" } ] }
Esempio 4: Consentire a un utente di accedere a un volume specifico
La policy seguente permette a un utente di eseguire tutte le operazioni su un volume specifico in un gateway. Poiché un utente non ottiene alcuna autorizzazione per impostazione predefinita, la policy permette all'utente di accedere a un solo volume specifico.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GrantsPermissionsToSpecificVolume", "Action": [ "storagegateway:*" ], "Effect": "Allow", "Resource": "arn:aws:storagegateway:us-west-2:123456789012:gateway/gateway-id/volume/volume-id" }, { "Sid": "GrantsPermissionsToUseStorageGatewayConsole", "Action": [ "storagegateway:ListGateways" ], "Effect": "Allow", "Resource": "*" } ] }
La policy precedente funziona se l'utente cui è collegata usa l'API o unAWSSDK per accedere al volume. Tuttavia, se questo utente utilizzerà ilAWS Storage Gatewayconsole, devi concedere anche le autorizzazioni per consentireListGatewaysaction, come mostrato nell'esempio seguente.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GrantsPermissionsToSpecificVolume", "Action": [ "storagegateway:*" ], "Effect": "Allow", "Resource": "arn:aws:storagegateway:us-west-2:123456789012:gateway/gateway-id/volume/volume-id" }, { "Sid": "GrantsPermissionsToUseStorageGatewayConsole", "Action": [ "storagegateway:ListGateways" ], "Effect": "Allow", "Resource": "*" } ] }
Esempio 5: Consenti tutte le azioni sui gateway con un prefisso specifico
La policy seguente permette a un utente di eseguire tutte le operazioni Storage Gateway su gateway con nomi che iniziano perDeptX. La policy permette anche laDescribeSnapshotsAzione Amazon EC2, necessaria se prevedi di descrivere snapshot.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsActionsGatewayWithPrefixDeptX", "Action": [ "storagegateway:*" ], "Effect": "Allow", "Resource": "arn:aws:storagegateway:us-west-2:123456789012:gateway/DeptX" }, { "Sid": "GrantsPermissionsToSpecifiedAction", "Action": [ "ec2:DescribeSnapshots" ], "Effect": "Allow", "Resource": "*" } ] }
La policy precedente funziona se l'utente cui è collegata usa l'API o unAWSSDK per accedere al gateway. Tuttavia, se questo utente ha intenzione di utilizzare ilAWS Storage Gatewayconsole, devi concedere autorizzazioni aggiuntive come descritto inEsempio 3: Consentire l'accesso a un gateway specifico.
