翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
でのアイデンティティベースのポリシー (IAM ポリシー) の使用 AWS Snowball
このトピックでは、アカウント管理者が ID (ユーザー、グループ、ロール) IAM にアクセス許可ポリシーをアタッチする方法を示すアイデンティティベースのポリシーの例を示します。これにより、これらのポリシーは の AWS Snowball リソースに対してオペレーションを実行するアクセス許可を付与します AWS クラウド。
重要
初めに、 AWS Snowball リソースへのアクセスを管理するための基本概念と使用可能なオプションについて説明する概要トピックをお読みになることをお勧めします。詳細については、「のリソースへのアクセス許可の管理の概要 AWS クラウド」を参照してください。
このセクションでは、次のトピックを対象としています。
以下に示しているのは、アクセス許可ポリシーの例です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*", "importexport:*" ], "Resource": "*" } ] }
このポリシーには以下の 2 つのステートメントがあります。
-
最初のステートメントは
s3:GetBucketLocation
、 の Amazon リソースネーム () を使用して、すべての Amazon S3 バケットに対する 3 つの Amazon S3 アクション (、、および ARN) のアクセス許可を付与しますarn:aws:s3:::*
。s3:GetObject
s3:ListBucket
はワイルドカード文字 (*) ARNを指定するため、ユーザーはデータのエクスポート元となる Amazon S3 バケットのいずれかまたはすべてを選択できます。 -
2 番目のステートメントは、すべての AWS Snowball アクションに対するアクセス許可を付与します。これらのアクションではリソースレベルのアクセス権限はサポートされていないため、ポリシーでワイルドカード文字 (*) が指定され、
Resource
の値にもワイルドカード文字が指定されます。
ID ベースのポリシーでアクセス許可を得るプリンシパルを指定していないため、ポリシーでは Principal
要素を指定していません。ユーザーにポリシーをアタッチすると、そのユーザーが暗黙のプリンシパルになります。アクセス許可ポリシーを IAMロールにアタッチすると、ロールの信頼ポリシーで識別されたプリンシパルがアクセス許可を取得します。
すべての AWS Snowball ジョブ管理APIアクションとそれらが適用されるリソースを示す表については、「」を参照してくださいAWS Snowball API アクセス許可: アクション、リソース、および条件リファレンス。
AWS Snowball コンソールを使用するために必要なアクセス許可
アクセス許可リファレンステーブルには、 AWS Snowball ジョブ管理APIオペレーションと、各オペレーションに必要なアクセス許可が一覧表示されます。ジョブ管理APIオペレーションの詳細については、「」を参照してくださいAWS Snowball API アクセス許可: アクション、リソース、および条件リファレンス。
を使用するには AWS Snow ファミリーマネジメントコンソール、次のアクセス許可ポリシーに示すように、追加のアクションのアクセス許可を付与する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetBucketPolicy", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListAllMyBuckets" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "lambda:GetFunction", "lambda:GetFunctionConfiguration" ], "Resource": "arn:aws:lambda:*::function:*" }, { "Effect": "Allow", "Action": [ "lambda:ListFunctions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:GenerateDataKey", "kms:Decrypt", "kms:Encrypt", "kms:RetireGrant", "kms:ListKeys", "kms:DescribeKey", "kms:ListAliases" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreatePolicy", "iam:CreateRole", "iam:ListRoles", "iam:ListRolePolicies", "iam:PutRolePolicy" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "importexport.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:ModifyImageAttribute" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:ListTopics", "sns:GetTopicAttributes", "sns:SetTopicAttributes", "sns:ListSubscriptionsByTopic", "sns:Subscribe" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "greengrass:getServiceRoleForAccount" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] } ] }
AWS Snowball コンソールには、次の理由でこれらの追加のアクセス許可が必要です。
-
ec2:
– これにより、ユーザーは Amazon EC2互換インスタンスを記述し、ローカルコンピューティングの目的で属性を変更できます。詳細については、「Snow Family デバイスでの Amazon EC2互換コンピューティングインスタンスの使用」を参照してください。 -
kms:
– これにより、ユーザーはデータを暗号化するKMSキーを作成または選択できます。詳細については、「AWS Key Management ServiceAWS Snowball Edge の」を参照してください。 -
iam:
– これにより、ユーザーは、ジョブの作成と処理に関連する AWS リソースにアクセスするために ARN AWS Snowball が引き受ける IAM ロールを作成または選択できます。 -
sns:
– これにより、ユーザーは作成したジョブの Amazon SNS通知を作成または選択できます。詳細については、「Snow Family デバイスの通知」を参照してください。