Controle de acesso para o console da Família Snow e trabalhos de criação - AWS Snowball Edge Guia do desenvolvedor
Visão geral do gerenciamento de acessoAWS-Políticas gerenciadas (predefinidas) para Edge AWS Snowball

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controle de acesso para o console da Família Snow e trabalhos de criação

Como acontece com todos os AWS serviços, o acesso a AWS Snowball requer credenciais que AWS possam ser usadas para autenticar suas solicitações. Essas credenciais devem ter permissões para acessar AWS recursos, como um bucket do Amazon S3 ou AWS Lambda uma função. AWS Snowball difere de duas maneiras:

  1. Os trabalhos em AWS Snowball não têm nomes de recursos da Amazon (ARNs).

  2. Cabe a você o controle de acesso físico e à rede de um dispositivo on-premises.

Consulte Identity and Access Management para AWS Snow Family para obter detalhes sobre como você pode usar o AWS Identity and Access Management (IAM) AWS Snowball e como ajudar a proteger seus recursos controlando quem pode acessá-los Nuvem AWS nas recomendações locais de controle de acesso.

Visão geral do gerenciamento de permissões de acesso aos seus recursos no Nuvem AWS

Cada AWS recurso é de propriedade de um Conta da AWS, e as permissões para criar ou acessar um recurso são regidas por políticas de permissões. Um administrador da conta pode anexar políticas de permissões às identidades do IAM (ou seja, usuários, grupos e funções), e alguns serviços (como AWS Lambda) também oferecem suporte para anexar políticas de permissões aos recursos.

nota

Um administrador da conta (ou usuário administrador) é um usuário com privilégios de administrador. Para obter mais informações, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.

Recursos e operações

Em AWS Snowball, o recurso principal é um emprego. AWS Snowball também tem dispositivos como o Snowball e o AWS Snowball Edge dispositivo, no entanto, você só pode usar esses dispositivos no contexto de um trabalho existente. Os buckets do Amazon S3 e as funções do Lambda são recursos do Amazon S3 e do Lambda respectivamente.

Como mencionado anteriormente, os trabalhos não têm nomes de recurso da Amazon (ARNs) associados a eles. Mas outros recursos de serviços, como os buckets do Amazon S3, têm ARNs exclusivos associados a eles, conforme mostrado na tabela a seguir.

Tipo de recurso Formato do ARN
Bucket do S3 arn:aws:s3:region:account-id:BucketName/ObjectName

AWS Snowball fornece um conjunto de operações para criar e gerenciar trabalhos. Para uma lista de operações disponíveis, consulte a Referência da API do AWS Snowball.

Noções básicas sobre propriedade de recursos

Ele Conta da AWS possui os recursos que são criados na conta, independentemente de quem criou os recursos. Especificamente, o proprietário Conta da AWS do recurso é a entidade principal (ou seja, a conta raiz, um usuário do IAM ou uma função do IAM) que autentica a solicitação de criação do recurso. Os seguintes exemplos mostram como isso funciona:

  • Se você usar as credenciais da sua conta raiz Conta da AWS para criar um bucket do S3, você Conta da AWS é o proprietário do recurso (em AWS Snowball, o recurso é o trabalho).

  • Se você criar um usuário do IAM em seu Conta da AWS e conceder permissões para criar um trabalho para solicitar um dispositivo da família Snow para esse usuário, o usuário poderá criar um trabalho para solicitar um dispositivo da família Snow. No entanto, seu Conta da AWS, ao qual o usuário pertence, é proprietário do recurso de trabalho.

  • Se você criar uma função do IAM na sua Conta da AWS com permissões para criar um trabalho, qualquer pessoa que possa assumir a função poderá criar um trabalho para solicitar um dispositivo da família Snow. Seu Conta da AWS, ao qual a função pertence, é proprietário do recurso de trabalho.

Gerenciando o acesso aos recursos no Nuvem AWS

A política de permissões descreve quem tem acesso a quê. A seção a seguir explica as opções disponíveis para a criação de políticas de permissões.

nota

Esta seção discute o uso do IAM no contexto de AWS Snowball. Não são fornecidas informações detalhadas sobre o serviço IAM. Para obter a documentação completa do IAM, consulte O que é o IAM? no Guia do usuário do IAM. Para obter mais informações sobre a sintaxe e as descrições da política do IAM, consulte a Referência de política do AWS IAM no Guia do usuário do IAM.

As políticas anexadas a uma identidade do IAM são chamadas de políticas baseadas em identidade (políticas do IAM) e as políticas anexadas a um recurso são chamadas de políticas baseadas em recursos. AWS Snowball suporta somente políticas baseadas em identidade (políticas do IAM).

Políticas baseadas em recurso

Outros serviços, como o Amazon S3, também aceitam políticas de permissões baseadas em recurso. Por exemplo, você pode anexar uma política a um bucket do S3 para gerenciar as permissões de acesso a esse bucket. AWS Snowball não oferece suporte a políticas baseadas em recursos. 

Especificar elementos da política: ações, efeitos e entidades principais

Para cada trabalho (consulte Recursos e operações), o serviço define um conjunto de operações de API (consulte Referência da API do AWS Snowball) para criar e gerenciar o trabalho em questão. Para conceder permissões para essas operações de API, AWS Snowball defina um conjunto de ações que você pode especificar em uma política. Por exemplo, para um trabalho, são definidas as ações a seguir: CreateJob, CancelJob, e DescribeJob. Observe que a execução de uma operação de API pode exigir permissões para mais de uma ação.

Estes são os elementos de política mais básicos:

  • Recurso: em uma política, você usa um nome do recurso da Amazon (ARN) para identificar o recurso a que a política se aplica. Para ter mais informações, consulte Recursos e operações.

    nota

    Isso é compatível com Amazon S3, Amazon EC2 AWS , AWS KMS Lambda e muitos outros serviços.

    O Snowball não aceita a especificação do ARN de um recurso no elemento Resource de uma declaração de política do IAM. Para conceder acesso ao Snowball, especifique “Resource”: “*” na política.

  • Ação: você usa palavras-chave de ação para identificar operações de recursos que deseja permitir ou negar. Por exemplo, dependendo do Effect especificado, o snowball:* concede ou nega as permissões de usuário para realizar todas as operações.

    nota

    Isso é possível no Amazon EC2, no Amazon S3 e no IAM.

  • Efeito: você especifica o efeito quando o usuário solicita a ação específica, que pode ser permitir ou negar. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar explicitamente o acesso a um recurso, para ter certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferente conceda acesso.

    nota

    Isso é possível no Amazon EC2, no Amazon S3 e no IAM.

  • Entidade principal: em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política é anexada é implicitamente a entidade principal. Para políticas baseadas em recursos, você especifica o usuário, a conta, o serviço ou outra entidade que deseja receber permissões (aplica-se somente às políticas baseadas em recursos). AWS Snowball não oferece suporte a políticas baseadas em recursos.

Para saber mais sobre a sintaxe e as descrições da política do IAM, consulte a Referência de política do AWS IAM no Guia do usuário do IAM.

Para ver uma tabela mostrando todas as ações AWS Snowball da API, consulteAWS Snowball Permissões de API: referência de ações, recursos e condições.

Especificar condições em uma política

Ao conceder permissões, você pode usar a linguagem da política do IAM para especificar as condições de quando uma política deverá entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre como especificar condições em uma linguagem de política, consulte Condition no Guia do usuário do IAM.

Para expressar condições, você usa chaves de condição predefinidas. Não existem chaves de condição específicas do AWS Snowball. No entanto, existem chaves AWS de condição abrangentes que você pode usar conforme apropriado. Para obter uma lista completa AWS de chaves abrangentes, consulte Chaves disponíveis para condições no Guia do usuário do IAM.

AWS-Políticas gerenciadas (predefinidas) para Edge AWS Snowball

AWS aborda muitos casos de uso comuns fornecendo políticas autônomas do IAM que são criadas e administradas pela AWS. As políticas gerenciadas concedem permissões necessárias para casos de uso comuns, de maneira que você possa evitar a necessidade de investigar quais permissões são necessárias. Para obter mais informações, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.

Você pode usar as seguintes políticas AWS gerenciadas com AWS Snowball.

Criar uma política do perfil do IAM para o Snowball Edge

É necessário criar uma política de perfil do IAM com permissões de leitura e gravação para os buckets do Amazon S3. O perfil do IAM do IAM também deve ter uma relação de confiança com o Snowball. Ter uma relação de confiança significa que AWS você pode gravar os dados no Snowball e em seus buckets do Amazon S3, dependendo se você está importando ou exportando dados.

Quando você cria um trabalho para solicitar um dispositivo da família Snow no Console de Gerenciamento da família AWS Snow, a criação da função IAM necessária ocorre na etapa 4 na seção Permissão. Esse processo é automático. O perfil do IAM que você permitir ao Snowball assumir é usada apenas para gravar os dados no bucket quando o Snowball chega à AWS com os dados transferidos. O procedimento a seguir descreve esse processo.

Para criar o perfil do IAM para seu trabalho de importação

  1. Faça login no AWS Management Console e abra o AWS Snowball console em https://console.aws.amazon.com/importexport/.

  2. Escolha Criar trabalho.

  3. Na primeira etapa, preencha os detalhes do trabalho de importação no Amazon S3 e, em seguida, escolha Avançar.

  4. Na segunda etapa, em Permissão, escolha Criar/Selecionar perfil do IAM.

    O Console de gerenciamento do IAM será aberto, mostrando o perfil do IAM que a AWS usa para copiar objetos em seus buckets do Amazon S3 especificados.

  5. Revise os detalhes nessa página e, em seguida, selecione Permitir.

    Você retorna ao Console de Gerenciamento da família AWS Snow, onde o ARN da função IAM selecionada contém o Nome de recurso da Amazon (ARN) para a função do IAM que você acabou de criar.

  6. Escolha Avançar para concluir a criação do seu perfil do IAM.

O procedimento anterior cria um perfil do IAM que tem permissões de gravação para os buckets do Amazon S3 para os quais planeja importar dados. O perfil do IAM criado tem uma das estruturas a seguir, dependendo se é para um trabalho de importação ou exportação.

do perfil do IAM para um trabalho de importação 


          {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListBucketMultipartUploads"
      ],
      "Resource": "arn:aws:s3:::*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketPolicy",
        "s3:PutObject",
        "s3:AbortMultipartUpload",
        "s3:ListMultipartUploadParts",
        "s3:PutObjectAcl",
        "s3:ListBucket",
        "s3:HeadBucket"
      ],
      "Resource": "arn:aws:s3:::*"
    }
  ]
}

Se você usa criptografia do lado do servidor com chaves AWS KMS gerenciadas (SSE-KMS) para criptografar os buckets do Amazon S3 associados ao seu trabalho de importação, você também precisa adicionar a seguinte declaração à sua função do IAM.

{
     "Effect": "Allow",
     "Action": [
       "kms:GenerateDataKey"
     ],
     "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}

Se os tamanhos de objeto forem maiores, o cliente do Amazon S3 usado para o processo de importação usará carregamento fracionado. Se você iniciar um upload de várias partes usando o SSE-KMS, todas as partes carregadas serão criptografadas usando a chave especificada. AWS KMS Como as partes são criptografadas, elas devem ser descriptografadas antes de serem montadas para concluir o carregamento fracionado. Portanto, você deve ter permissão para descriptografar a AWS KMS chave (kms:Decrypt) ao executar um upload de várias partes para o Amazon S3 com SSE-KMS.

Veja a seguir um exemplo de um perfil do IAM necessário para um trabalho de importação que precisa da permissão kms:Decrypt.

{
    "Effect": "Allow",
     "Action": [
       "kms:GenerateDataKey","kms:Decrypt"

     ],
     "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}

Veja a seguir um exemplo de um perfil do IAM necessário para um trabalho de exportação.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:GetBucketPolicy",
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": "arn:aws:s3:::*"
    }
  ]
}

Se você usa criptografia do lado do servidor com chaves AWS KMS gerenciadas para criptografar os buckets do Amazon S3 associados ao seu trabalho de exportação, você também precisa adicionar a seguinte declaração à sua função do IAM.

{
     "Effect": "Allow",
     "Action": [
            “kms:Decrypt”
      ],
     "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}

Você pode criar suas próprias políticas personalizadas do IAM para permitir permissões para operações de API para gerenciamento de AWS Snowball tarefas. Você pode anexar essas políticas personalizadas a usuários ou grupos do IAM que exijam essas permissões.