Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
IAMpolitiche per i flussi di lavoro
Quando aggiungi un flusso di lavoro a un server, devi selezionare un ruolo di esecuzione. Il server utilizza questo ruolo quando esegue il flusso di lavoro. Se il ruolo non dispone delle autorizzazioni appropriate, non AWS Transfer Family può eseguire il flusso di lavoro.
Questa sezione descrive un possibile set di AWS Identity and Access Management (IAM) autorizzazioni che è possibile utilizzare per eseguire un flusso di lavoro. Altri esempi sono descritti più avanti in questo argomento.
Nota
Se i tuoi file Amazon S3 hanno tag, devi aggiungere una o due autorizzazioni alla tua policy. IAM
-
Aggiungi
s3:GetObjectTagging
per un file Amazon S3 senza versione. -
Aggiungi
s3:GetObjectVersionTagging
per un file Amazon S3 con versione.
Per creare un ruolo di esecuzione per il tuo flusso di lavoro
-
Crea un nuovo IAM ruolo e aggiungi la politica AWS gestita
AWSTransferFullAccess
al ruolo. Per ulteriori informazioni sulla creazione di un nuovo IAM ruolo, consultaCrea un IAM ruolo e una politica. -
Crea un'altra politica con le seguenti autorizzazioni e associala al tuo ruolo. Sostituisci ogni
con le tue informazioni.user input placeholder
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConsoleAccess", "Effect": "Allow", "Action": "s3:GetBucketLocation", "Resource": "*" }, { "Sid": "ListObjectsInBucket", "Effect": "Allow", "Action": "s3:ListBucket", "Resource": [ "arn:aws:s3:::
DOC-EXAMPLE-BUCKET
" ] }, { "Sid": "AllObjectActions", "Effect": "Allow", "Action": "s3:*Object", "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET
/*" ] }, { "Sid": "GetObjectVersion", "Effect": "Allow", "Action": "s3:GetObjectVersion", "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET
/*" ] }, { "Sid": "Custom", "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": [ "arn:aws:lambda:region
:account-id
:function:function-name
" ] }, { "Sid": "Tag", "Effect": "Allow", "Action": [ "s3:PutObjectTagging", "s3:PutObjectVersionTagging" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET
/*" ] } ] } -
Salva questo ruolo e specificalo come ruolo di esecuzione quando aggiungi un flusso di lavoro a un server.
Nota
Durante la creazione di IAM ruoli, si AWS consiglia di limitare l'accesso alle risorse il più possibile per il flusso di lavoro.
Relazioni di fiducia nel workflow
I ruoli di esecuzione del flusso di lavoro richiedono anche una relazione di fiducia contransfer.amazonaws.com
. Per stabilire una relazione di fiducia per AWS Transfer Family, vederePer stabilire una relazione di trust.
Mentre stabilite il vostro rapporto di fiducia, potete anche prendere provvedimenti per evitare il confuso problema del vicesceriffo. Per una descrizione di questo problema e per alcuni esempi su come evitarlo, consultaPrevenzione del problema "confused deputy" tra servizi.
Esempio di ruolo di esecuzione: decrittografia, copia e tag
Se disponi di flussi di lavoro che includono passaggi di etichettatura, copia e decrittografia, puoi utilizzare la seguente politica. IAM Sostituisci ogni
con le tue informazioni. user input
placeholder
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CopyRead", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectTagging", "s3:GetObjectVersionTagging" ], "Resource": "arn:aws:s3:::
source-bucket-name
/*" }, { "Sid": "CopyWrite", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectTagging" ], "Resource": "arn:aws:s3:::destination-bucket-name
/*" }, { "Sid": "CopyList", "Effect": "Allow", "Action": "s3:ListBucket", "Resource": [ "arn:aws:s3:::source-bucket-name
", "arn:aws:s3:::destination-bucket-name
" ] }, { "Sid": "Tag", "Effect": "Allow", "Action": [ "s3:PutObjectTagging", "s3:PutObjectVersionTagging" ], "Resource": "arn:aws:s3:::destination-bucket-name
/*", "Condition": { "StringEquals": { "s3:RequestObjectTag/Archive": "yes" } } }, { "Sid": "ListBucket", "Effect": "Allow", "Action": "s3:ListBucket", "Resource": [ "arn:aws:s3:::destination-bucket-name
" ] }, { "Sid": "HomeDirObjectAccess", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObjectVersion", "s3:DeleteObject", "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::destination-bucket-name
/*" }, { "Sid": "Decrypt", "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:region
:account-ID
:secret:aws/transfer/*" } ] }
Esempio di ruolo di esecuzione: Esegui la funzione ed elimina
In questo esempio, avete un flusso di lavoro che richiama una AWS Lambda funzione. Se il flusso di lavoro elimina il file caricato e prevede un passaggio di gestione delle eccezioni che interviene in caso di esecuzione non riuscita del flusso di lavoro nel passaggio precedente, utilizzate la seguente politica. IAM Sostituisci ogni
con le tue informazioni. user input placeholder
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Delete", "Effect": "Allow", "Action": [ "s3:DeleteObject", "s3:DeleteObjectVersion" ], "Resource": "arn:aws:s3:::
bucket-name
" }, { "Sid": "Custom", "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": [ "arn:aws:lambda:region
:account-id
:function:function-name
" ] } ] }