翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
お客様が管理するポリシーの例
このセクションでは、さまざまな AWS Snowball ジョブ管理アクションのアクセス許可を付与するユーザーポリシーの例を示します。これらのポリシーは、 AWS SDK または AWS CLIを使用しているときに機能します。コンソールを使用している場合は、「AWS Snowball コンソールを使用するために必要なアクセス許可」で説明しているコンソールに固有の追加のアクセス権限を付与する必要があります。
注記
すべての例で、us-west-2 リージョンを使用し、架空のアカウント ID を含めています。
例
例 1: ユーザーが API を使用して Snow Family デバイスを注文するためのジョブの作成を許可するロールポリシー
以下のアクセス権限ポリシーは、ジョブ管理 API を使用したジョブまたはクラスター作成のアクセス権限を付与するために使用される、すべてのポリシーで必須の構成要素です。このステートメントは、Snowball IAM ロールの信頼関係ポリシーステートメントとして必要です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "importexport.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
例 2: インポートジョブを作成するためのロールポリシー
次のロール信頼ポリシーを使用して、 AWS IoT Greengrass 関数 AWS Lambda を搭載した を使用する Snowball Edge のインポートジョブを作成します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucketMultipartUploads" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "s3:GetBucketPolicy", "s3:GetBucketLocation", "s3:ListBucketMultipartUploads", "s3:ListBucket", "s3:HeadBucket", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts", "s3:PutObjectAcl", "s3:GetObject" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CreateKeysAndCertificate", "iot:CreatePolicy", "iot:CreateThing", "iot:DescribeEndpoint", "iot:GetPolicy" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetFunction" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "greengrass:CreateCoreDefinition", "greengrass:CreateDeployment", "greengrass:CreateDeviceDefinition", "greengrass:CreateFunctionDefinition", "greengrass:CreateGroup", "greengrass:CreateGroupVersion", "greengrass:CreateLoggerDefinition", "greengrass:CreateSubscriptionDefinition", "greengrass:GetDeploymentStatus", "greengrass:UpdateGroupCertificateConfiguration", "greengrass:CreateGroupCertificateAuthority", "greengrass:GetGroupCertificateAuthority", "greengrass:ListGroupCertificateAuthorities", "greengrass:ListDeployments", "greengrass:GetGroup", "greengrass:GetGroupVersion", "greengrass:GetCoreDefinitionVersion" ], "Resource": [ "*" ] } ] }
例 3: エクスポートジョブを作成するためのロールポリシー
次のロール信頼ポリシーを使用して、 AWS IoT Greengrass 関数 AWS Lambda を搭載した を使用する Snowball Edge のエクスポートジョブを作成します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CreateKeysAndCertificate", "iot:CreatePolicy", "iot:CreateThing", "iot:DescribeEndpoint", "iot:GetPolicy" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetFunction" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "greengrass:CreateCoreDefinition", "greengrass:CreateDeployment", "greengrass:CreateDeviceDefinition", "greengrass:CreateFunctionDefinition", "greengrass:CreateGroup", "greengrass:CreateGroupVersion", "greengrass:CreateLoggerDefinition", "greengrass:CreateSubscriptionDefinition", "greengrass:GetDeploymentStatus", "greengrass:UpdateGroupCertificateConfiguration", "greengrass:CreateGroupCertificateAuthority", "greengrass:GetGroupCertificateAuthority", "greengrass:ListGroupCertificateAuthorities", "greengrass:ListDeployments", "greengrass:GetGroup", "greengrass:GetGroupVersion", "greengrass:GetCoreDefinitionVersion" ], "Resource": [ "*" ] } ] }
例 4: 期待されるロールのアクセス許可と信頼ポリシー
既存のサービスロールを使用するには、以下の期待されるロールのアクセス許可ポリシーが必要です。これは 1 回限りの設定です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sns:Publish", "Resource": ["[[snsArn]]"] }, { "Effect": "Allow", "Action": [ "cloudwatch:ListMetrics", "cloudwatch:GetMetricData", "cloudwatch:PutMetricData" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/SnowFamily" } } } ] }
既存のサービスロールを使用するには、以下の期待されるロールの信頼ポリシーが必要です。これは 1 回限りの設定です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "importexport.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
AWS Snowball API アクセス許可: アクション、リソース、および条件リファレンス
のアクセスコントロール AWS クラウド をセットアップし、IAM アイデンティティにアタッチできるアクセス権限ポリシー (アイデンティティベースのポリシー) を作成するときは、以下のテーブルをリファレンスとして使用できます。次の表、各 AWS Snowball ジョブ管理 API オペレーションと、アクションを実行するためのアクセス許可を付与できる対応するアクションが含まれています。また、アクセス許可を付与できる AWS リソースの API オペレーションごとに も含まれます。ポリシーの Action フィールドでアクションを指定し、ポリシーの Resource フィールドでリソースの値を指定します。
AWS Snowball ポリシーで AWS全体の条件キーを使用して条件を表現できます。 AWS全体のキーの完全なリストについては、「IAM ユーザーガイド」の「使用可能なキー」を参照してください。
注記
アクションを指定するには、API オペレーション名 (snowball:CreateJob など) の前に snowball: プレフィックスを使用します。
スクロールバーを使用して、テーブルの残りの部分を確認します。
