Controllo degli accessi per console Snow Family e creazione di posti di lavoro - AWS Snowball Edge Guida per gli sviluppatori
Panoramica sulla gestione degli accessiAWS-Policy gestite (predefinite) per Edge AWS Snowball

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controllo degli accessi per console Snow Family e creazione di posti di lavoro

Come per tutti i AWS servizi, l'accesso a AWS Snowball richiede credenziali che AWS possono essere utilizzate per autenticare le richieste. Tali credenziali devono disporre delle autorizzazioni per accedere alle AWS risorse, come un bucket Amazon S3 o una funzione. AWS Lambda AWS Snowball differisce in due modi:

  1. I job in AWS Snowball non dispongono di Amazon Resource Names (ARN).

  2. Il controllo dell'accesso fisico e di rete per un dispositivo locale è una tua responsabilità.

Scopri Identity and Access Management per AWS Snow Family i dettagli su come utilizzare AWS Identity and Access Management (IAM) AWS Snowball e su come proteggere le tue risorse controllando chi può accedervi nei consigli Cloud AWS sul controllo degli accessi locali.

Panoramica della gestione delle autorizzazioni di accesso alle risorse in Cloud AWS

Ogni AWS risorsa è di proprietà di un e Account AWS le autorizzazioni per creare o accedere a una risorsa sono regolate dalle politiche di autorizzazione. Un amministratore di account può associare politiche di autorizzazione alle identità IAM (ovvero utenti, gruppi e ruoli) e alcuni servizi (come AWS Lambda) supportano anche l'associazione di politiche di autorizzazione alle risorse.

Nota

Un amministratore account (o un utente amministratore) è un utente con privilegi di amministratore. Per ulteriori informazioni, consulta Best practice IAM nella Guida per l'utente di IAM.

Risorse e operazioni

Nel AWS Snowball, la risorsa principale è un lavoro. AWS Snowball dispone anche di dispositivi come Snowball e il AWS Snowball Edge dispositivo, tuttavia è possibile utilizzare tali dispositivi solo nel contesto di un lavoro esistente. I bucket Amazon S3 e le funzioni Lambda sono risorse rispettivamente di Amazon S3 e Lambda.

Come indicato in precedenza, ai processi non è associato l'Amazon Resource Name (ARN). Tuttavia, alle risorse di altri servizi, come i bucket Amazon S3, sono associati degli ARN unici, come illustrato nella tabella seguente.

Tipo di risorsa Formato ARN
Bucket S3 arn:aws:s3:region:account-id:BucketName/ObjectName

AWS Snowball fornisce una serie di operazioni per creare e gestire i lavori. Per un elenco delle operazioni disponibili, consulta l'AWS Snowball API Reference.

Informazioni sulla proprietà delle risorse

È Account AWS proprietario delle risorse create nell'account, indipendentemente da chi le ha create. In particolare, il proprietario Account AWS della risorsa è l'entità principale (ovvero l'account root, un utente IAM o un ruolo IAM) che autentica la richiesta di creazione delle risorse. Negli esempi seguenti viene illustrato il funzionamento:

  • Se utilizzi le credenziali dell'account root del tuo account Account AWS per creare un bucket S3, sei il proprietario della risorsa (in altre parole AWS Snowball, la risorsa Account AWS è il lavoro).

  • Se crei un utente IAM nel tuo account Account AWS e concedi le autorizzazioni per creare un lavoro per ordinare un dispositivo Snow Family a quell'utente, l'utente può creare un lavoro per ordinare un dispositivo Snow Family. Tuttavia Account AWS, la risorsa di lavoro è di proprietà dell'utente a cui appartiene.

  • Se crei un ruolo IAM presso di te Account AWS con le autorizzazioni necessarie per creare un lavoro, chiunque possa assumere il ruolo può creare un lavoro per ordinare un dispositivo Snow Family. Il tuo Account AWS, a cui appartiene il ruolo, è il proprietario della risorsa di lavoro.

Gestione dell'accesso alle risorse in Cloud AWS

La policy delle autorizzazioni descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.

Nota

Questa sezione illustra l'utilizzo di IAM nel contesto di AWS Snowball. Non vengono fornite informazioni dettagliate sul servizio IAM. Per la documentazione di IAM completa, consulta Che cos'è IAM? nella Guida per l'utente di IAM. Per informazioni sulla sintassi delle policy IAM e le rispettive descrizioni, consulta Riferimento alle policy IAM di AWS nella Guida per l'utente di IAM.

Le politiche collegate a un'identità IAM sono denominate politiche basate sull'identità (politiche IAM) e le politiche allegate a una risorsa sono denominate politiche basate sulle risorse. AWS Snowball supporta solo politiche basate sull'identità (politiche IAM).

Policy basate su risorse

Anche altri servizi, ad esempio Amazon S3, supportano policy di autorizzazioni basate su risorse. Ad esempio, puoi allegare una policy a un bucket S3 per gestire le autorizzazioni di accesso a quel bucket. AWS Snowball non supporta politiche basate sulle risorse. 

Specifica degli elementi delle policy: operazioni, effetti e principali

Per ogni lavoro (vediRisorse e operazioni), il servizio definisce una serie di operazioni API (vedi AWS Snowball API Reference) per creare e gestire tale lavoro. Per concedere le autorizzazioni per queste operazioni API, AWS Snowball definisce una serie di azioni che è possibile specificare in una politica. Ad esempio, per un processo, vengono definite le seguenti operazioni: CreateJob, CancelJob e DescribeJob. Si noti che l'esecuzione di un'operazione API può richiedere le autorizzazioni per più di un'azione.

Di seguito sono elencati gli elementi di base di una policy:

  • Risorsa: in una policy si utilizza il nome della risorsa Amazon (ARN) per identificare la risorsa a cui si applica la policy stessa. Per ulteriori informazioni, consulta Risorse e operazioni.

    Nota

    Questa funzionalità è supportata per Amazon S3, Amazon EC2 AWS , AWS KMS Lambda e molti altri servizi.

    Snowball non supporta la specificazione di un ARN di risorsa nell'Resourceelemento di una dichiarazione di policy IAM. Per consentire l'accesso a Snowball, specificalo “Resource”: “*” nella tua politica.

  • Operazione: utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare. Ad esempio, a seconda del Effect, snowball:* specificato, autorizzi o rifiuti all'utente le autorizzazioni per eseguire tutte le operazioni.

    Nota

    Questa funzionalità è supportata per Amazon EC2, Amazon S3 e IAM.

  • Effetto: l'effetto prodotto quando l'utente richiede l'operazione specifica, ovvero un'autorizzazione o un rifiuto. USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. Puoi anche rifiutare esplicitamente l'accesso a una risorsa per garantire che un utente non possa accedervi, anche se l'accesso viene concesso da un'altra policy.

    Nota

    Questa funzionalità è supportata per Amazon EC2, Amazon S3 e IAM.

  • Principale: nelle policy basate su identità (policy IAM), l'utente a cui la policy è collegata è il principale implicito. Per le politiche basate sulle risorse, specifichi l'utente, l'account, il servizio o l'altra entità a cui desideri ricevere le autorizzazioni (si applica solo alle politiche basate sulle risorse). AWS Snowball non supporta politiche basate sulle risorse.

Per ulteriori informazioni sulla sintassi e le descrizioni delle policy IAM, consulta AWS Riferimento alle policy IAM nella Guida per l'utente di IAM.

Per una tabella che mostra tutte le azioni dell' AWS Snowball API, vedi. AWS Snowball Autorizzazioni API: riferimento ad azioni, risorse e condizioni

Specifica delle condizioni in una policy

Quando si concedono le autorizzazioni, è possibile utilizzare il linguaggio della policy IAM per specificare le condizioni in base a cui la policy deve essere applicata. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni su come specificare le condizioni in un linguaggio di policy, consulta la sezione Condizione nella Guida per l'utente di IAM.

Per esprimere le condizioni è necessario utilizzare chiavi di condizione predefinite. Non esistono chiavi di condizione specifiche per AWS Snowball. Tuttavia, ci sono chiavi AWS-wide condition che puoi usare a seconda delle esigenze. Per un elenco completo delle chiavi AWS-wide, consulta Available Keys for Conditions nella IAM User Guide.

AWS-Policy gestite (predefinite) per Edge AWS Snowball

AWS affronta molti casi d'uso comuni fornendo policy IAM autonome create e amministrate da. AWS Le policy gestite concedono le autorizzazioni necessarie per i casi di utilizzo comune in modo da non dover cercare quali sono le autorizzazioni richieste. Per ulteriori informazioni, consulta Policy gestite da AWS nella Guida per l'utente di IAM.

È possibile utilizzare le seguenti politiche AWS gestite con. AWS Snowball

Creazione di una policy sui ruoli IAM per Snowball Edge

È necessario creare una policy di ruolo IAM con autorizzazioni di lettura e scrittura per i bucket Amazon S3. Il ruolo IAM deve inoltre avere un rapporto di fiducia con Snowball. Avere una relazione di fiducia significa AWS poter scrivere i dati nello Snowball e nei bucket Amazon S3, a seconda che si stiano importando o esportando dati.

Quando crei un lavoro per ordinare un dispositivo Snow Family in Console di gestione della famiglia di servizi AWS Snow, la creazione del ruolo IAM necessario avviene nel passaggio 4 della sezione Autorizzazione. Questo processo è automatico. Il ruolo IAM che consenti a Snowball di assumere viene utilizzato solo per scrivere i dati nel bucket quando arriva lo Snowball con i dati trasferiti. AWS La procedura seguente illustra tale processo.

Per creare il ruolo IAM per il tuo processo di importazione

  1. Accedi AWS Management Console e apri la AWS Snowball console all'indirizzo https://console.aws.amazon.com/importexport/.

  2. Scegli Crea processo.

  3. Nel primo passaggio, inserisci i dettagli per il processo di importazione in Amazon S3, quindi scegli Avanti.

  4. Nella seconda fase, in Permission (Autorizzazione), scegliere Create/Select IAM Role (Crea/Seleziona ruolo IAM).

    Si apre la console di gestione IAM, che mostra il ruolo IAM AWS utilizzato per copiare gli oggetti nei bucket Amazon S3 specificati.

  5. Esaminare i dettagli in questa pagina, quindi scegliere Allow (Consenti).

    Ritorni al Console di gestione della famiglia di servizi AWS Snow, dove l'ARN del ruolo IAM selezionato contiene l'Amazon Resource Name (ARN) per il ruolo IAM che hai appena creato.

  6. Scegli Avanti per completare la creazione del tuo ruolo IAM.

La procedura precedente crea un ruolo IAM con autorizzazioni di scrittura per i bucket Amazon S3 in cui intendi importare i dati. Il ruolo IAM che viene creato ha una delle seguenti strutture, a seconda del fatto che sia per un processo di importazione o di esportazione.

del ruolo IAM per un processo di importazione


          {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListBucketMultipartUploads"
      ],
      "Resource": "arn:aws:s3:::*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketPolicy",
        "s3:PutObject",
        "s3:AbortMultipartUpload",
        "s3:ListMultipartUploadParts",
        "s3:PutObjectAcl",
        "s3:ListBucket",
        "s3:HeadBucket"
      ],
      "Resource": "arn:aws:s3:::*"
    }
  ]
}

Se utilizzi la crittografia lato server con chiavi AWS KMS gestite (SSE-KMS) per crittografare i bucket Amazon S3 associati al tuo processo di importazione, devi anche aggiungere la seguente dichiarazione al tuo ruolo IAM.

{
     "Effect": "Allow",
     "Action": [
       "kms:GenerateDataKey"
     ],
     "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}

Se le dimensioni degli oggetti sono maggiori, il client Amazon S3 utilizzato per il processo di importazione utilizza il caricamento in più parti. Se avvii un caricamento in più parti utilizzando SSE-KMS, tutte le parti caricate vengono crittografate utilizzando la chiave specificata. AWS KMS Poiché le parti sono crittografate, devono essere decrittografate prima di poter essere assemblate per completare il caricamento multipart. Quindi devi avere l'autorizzazione per decrittografare la AWS KMS chiave (kms:Decrypt) quando esegui un caricamento multiparte su Amazon S3 con SSE-KMS.

Di seguito è riportato un esempio di ruolo IAM necessario per un processo di importazione che richiede l'autorizzazione kms:Decrypt.

{
    "Effect": "Allow",
     "Action": [
       "kms:GenerateDataKey","kms:Decrypt"

     ],
     "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}

Di seguito è riportato un esempio di ruolo IAM necessario per un processo di esportazione.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:GetBucketPolicy",
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": "arn:aws:s3:::*"
    }
  ]
}

Se utilizzi la crittografia lato server con chiavi AWS KMS gestite per crittografare i bucket Amazon S3 associati al tuo processo di esportazione, devi anche aggiungere la seguente dichiarazione al tuo ruolo IAM.

{
     "Effect": "Allow",
     "Action": [
            “kms:Decrypt”
      ],
     "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}

Puoi creare politiche IAM personalizzate per consentire le autorizzazioni per le operazioni API per la gestione dei lavori. AWS Snowball Puoi collegare queste policy personalizzate agli utenti o ai gruppi IAM che richiedono le autorizzazioni.