As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Exemplos de política gerenciada pelo cliente
Nesta seção, você pode encontrar exemplos de políticas de usuário que concedem permissões para várias ações de gerenciamento de AWS Snowball tarefas. Essas políticas funcionam quando você está usando AWS SDKs ou AWS CLI o. Ao usar o console, você precisa conceder permissões adicionais específicas ao console, o que é abordado em Permissões necessárias para usar o AWS Snowball console.
nota
Todos os exemplos usam a região us-west-2 e contêm uma conta fictícia. IDs
Exemplos
- Exemplo 1: Política de função que permite que um usuário crie um Job para solicitar um dispositivo da família Snow com o API
- Exemplo 2: política de perfil para criação de trabalhos de importação
- Exemplo 3: política de perfil para criação de trabalhos de exportação
- Exemplo 4: política de confiança e permissões de perfil esperadas
- AWS Snowball APIPermissões: Referência de ações, recursos e condições
Exemplo 1: Política de função que permite que um usuário crie um Job para solicitar um dispositivo da família Snow com o API
A política de permissões a seguir é um componente necessário de qualquer política usada para conceder permissão de criação de trabalhos ou clusters usando o gerenciamento de trabalhosAPI. A declaração é necessária como uma declaração de política de relacionamento de confiança para a função de SnowballIAM.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "importexport.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Exemplo 2: política de perfil para criação de trabalhos de importação
Você usa a seguinte política de confiança de função para criar trabalhos de importação para o Snowball Edge que usam funções AWS Lambda alimentadas por AWS IoT Greengrass .
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucketMultipartUploads" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "s3:GetBucketPolicy", "s3:GetBucketLocation", "s3:ListBucketMultipartUploads", "s3:ListBucket", "s3:HeadBucket", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts", "s3:PutObjectAcl", "s3:GetObject" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CreateKeysAndCertificate", "iot:CreatePolicy", "iot:CreateThing", "iot:DescribeEndpoint", "iot:GetPolicy" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetFunction" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "greengrass:CreateCoreDefinition", "greengrass:CreateDeployment", "greengrass:CreateDeviceDefinition", "greengrass:CreateFunctionDefinition", "greengrass:CreateGroup", "greengrass:CreateGroupVersion", "greengrass:CreateLoggerDefinition", "greengrass:CreateSubscriptionDefinition", "greengrass:GetDeploymentStatus", "greengrass:UpdateGroupCertificateConfiguration", "greengrass:CreateGroupCertificateAuthority", "greengrass:GetGroupCertificateAuthority", "greengrass:ListGroupCertificateAuthorities", "greengrass:ListDeployments", "greengrass:GetGroup", "greengrass:GetGroupVersion", "greengrass:GetCoreDefinitionVersion" ], "Resource": [ "*" ] } ] }
Exemplo 3: política de perfil para criação de trabalhos de exportação
Você usa a seguinte política de confiança de funções para criar trabalhos de exportação para o Snowball Edge que usam funções AWS Lambda alimentadas por AWS IoT Greengrass .
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "snowball:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CreateKeysAndCertificate", "iot:CreatePolicy", "iot:CreateThing", "iot:DescribeEndpoint", "iot:GetPolicy" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetFunction" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "greengrass:CreateCoreDefinition", "greengrass:CreateDeployment", "greengrass:CreateDeviceDefinition", "greengrass:CreateFunctionDefinition", "greengrass:CreateGroup", "greengrass:CreateGroupVersion", "greengrass:CreateLoggerDefinition", "greengrass:CreateSubscriptionDefinition", "greengrass:GetDeploymentStatus", "greengrass:UpdateGroupCertificateConfiguration", "greengrass:CreateGroupCertificateAuthority", "greengrass:GetGroupCertificateAuthority", "greengrass:ListGroupCertificateAuthorities", "greengrass:ListDeployments", "greengrass:GetGroup", "greengrass:GetGroupVersion", "greengrass:GetCoreDefinitionVersion" ], "Resource": [ "*" ] } ] }
Exemplo 4: política de confiança e permissões de perfil esperadas
A política de permissões de perfil esperadas a seguir é necessária para o uso de um perfil de serviço existente. Essa configuração é realizada apenas uma vez.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sns:Publish", "Resource": ["[[snsArn]]"] }, { "Effect": "Allow", "Action": [ "cloudwatch:ListMetrics", "cloudwatch:GetMetricData", "cloudwatch:PutMetricData" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/SnowFamily" } } } ] }
A política de confiança de perfil esperada a seguir é necessária para o uso de um perfil de serviço existente. Essa configuração é realizada apenas uma vez.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "importexport.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
AWS Snowball APIPermissões: Referência de ações, recursos e condições
Ao configurar Controle de acesso no Nuvem AWS e escrever uma política de permissões que você pode anexar a uma IAM identidade (políticas baseadas em identidade), você pode usar a de tabelas a seguir como referência. A tabela a seguir cada API operação de gerenciamento de AWS Snowball tarefas e as ações correspondentes para as quais você pode conceder permissões para realizar a ação. Também inclui, para cada API operação, o AWS recurso para o qual você pode conceder as permissões. Você especifica as ações no campo Action da política e o valor do recurso no campo Resource da política.
Você pode usar chaves AWS de condição abrangentes em suas AWS Snowball políticas para expressar condições. Para obter uma lista completa AWS de teclas amplas, consulte Chaves disponíveis no Guia do IAM usuário.
nota
Para especificar uma ação, use o snowball: prefixo seguido pelo nome da API operação (por exemplo,snowball:CreateJob).
Use as barras de rolagem para ver o restante da tabela.
