AWS Amazon 的托管政策 FSx - FSx for ONTAP
A mazonFSx ServiceRolePolicyA mazonFSx DeleteServiceLinkedRoleAccessA mazonFSx FullAccessA mazonFSx ConsoleFullAccessA mazonFSx ConsoleReadOnlyAccessA mazonFSx ReadOnlyAccess策略更新

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Amazon 的托管政策 FSx

AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的客户托管式策略来进一步减少权限。

您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 当新服务启动或现有服务 AWS 服务 有新API操作可用时,最有可能更新 AWS 托管策略。

有关更多信息,请参阅《IAM用户指南》中的AWS 托管策略

A mazonFSx ServiceRolePolicy

允许 FSx Amazon 代表您管理 AWS 资源。请参阅使用适用于 Amazon 的服务相关角色 FSx,了解更多信息。

AWS 托管策略:A mazonFSx DeleteServiceLinkedRoleAccess

你无法附着AmazonFSxDeleteServiceLinkedRoleAccess在你的IAM实体上。该策略关联到服务,仅用于该服务的服务相关角色。您不能附加、分离、修改或删除此策略。有关更多信息,请参阅 使用适用于 Amazon 的服务相关角色 FSx

该策略授予管理权限,允许亚马逊FSx删除其对 Amazon S3 访问权限的服务关联角色,该角色仅FSx供亚马逊用于 Lustre。

权限详细信息

此策略包括iam允许亚马逊FSx查看、删除和查看 Amazon S3 FSx 服务关联角色访问权限的删除状态的权限。

要查看此策略的权限,请参阅《 AWS 托管策略参考指南》mazonFSxDeleteServiceLinkedRoleAccess中的 A

AWS 托管策略:A mazonFSx FullAccess

你可以将 A 附加mazonFSxFullAccess 到你的IAM实体上。亚马逊FSx还将此政策附加到允许亚马逊FSx代表您执行操作的服务角色。

提供对 Amazon 的完全访问权限FSx和相关 AWS 服务的访问权限。

权限详细信息

该策略包含以下权限。

  • fsx— 允许委托人具有执行所有 Amazon FSx 操作的完全访问权限,但以下操作除外。BypassSnaplockEnterpriseRetention

  • ds— 允许委托人查看有关 AWS Directory Service 目录的信息。

  • ec2

    • 允许委托人在指定条件下创建标签。

    • 对可与一起使用的所有安全组提供增强的安全组验证VPC。

  • iam— 允许原则代表用户创建 Amazon FSx 服务关联角色。这是必需的,这样 Amazon FSx 才能代表用户管理 AWS 资源。

  • logs – 允许主体创建日志组、日志流并将事件写入日志流。这是必需的,这样用户才能通过向日志发送审核访问日志来监控 FSx Windows 文件服务器文件系统的访问权限。 CloudWatch

  • firehose— 允许委托人向 Amazon Data Firehose 写入记录。这是必需的,这样用户才能通过向 Firehose 发送审核访问日志来监控 FSx Windows 文件服务器文件系统的访问权限。

要查看此策略的权限,请参阅《 AWS 托管策略参考指南》mazonFSxFullAccess中的 A

AWS 托管策略:A mazonFSx ConsoleFullAccess

您可以将AmazonFSxConsoleFullAccess策略附加到您的IAM身份。

此政策授予管理权限,允许用户完全访问亚马逊FSx并通过访问相关 AWS 服务 AWS Management Console。

权限详细信息

该策略包含以下权限。

  • fsx— 允许委托人在 Amazon FSx 管理控制台中执行所有操作,但以下操作除外。BypassSnaplockEnterpriseRetention

  • cloudwatch— 允许委托人在 Amazon FSx 管理控制台中查看 CloudWatch 警报和指标。

  • ds— 允许委托人列出有关 AWS Directory Service 目录的信息。

  • ec2

    • 允许委托人为路由表创建标签,列出网络接口、路由表、安全组、子网以及与 Amazon FSx 文件系统VPC关联的内容。

    • 允许委托人对可以与一起使用的所有安全组提供增强的安全组VPC验证。

  • kms— 允许委托人列出密钥的别名。 AWS Key Management Service

  • s3 – 允许主体列出 Amazon S3 桶中的部分或全部对象(最多 1000 个)。

  • iam— 授予创建服务关联角色的权限,该角色允许 Amazon FSx 代表用户执行操作。

要查看此策略的权限,请参阅《 AWS 托管策略参考指南》mazonFSxConsoleFullAccess中的 A

AWS 托管策略:A mazonFSx ConsoleReadOnlyAccess

您可以将AmazonFSxConsoleReadOnlyAccess策略附加到您的IAM身份。

此政策向 Amazon FSx 和相关 AWS 服务授予只读权限,以便用户可以在中查看有关这些服务的信息 AWS Management Console。

权限详细信息

该策略包含以下权限。

  • fsx— 允许委托人在 Amazon FSx 管理控制台中查看有关亚马逊FSx文件系统的信息,包括所有标签。

  • cloudwatch— 允许委托人在 Amazon FSx 管理控制台中查看 CloudWatch 警报和指标。

  • ds— 允许委托人在 Amazon FSx 管理控制台中查看有关 AWS Directory Service 目录的信息。

  • ec2

    • 允许委托人在 Amazon FSx 管理控制台中查看网络接口、安全组、子网以及与 Amazon FSx 文件系统VPC关联的内容。

    • 对可与一起使用的所有安全组提供增强的安全组验证VPC。

  • kms— 允许委托人在 Amazon FSx 管理控制台中查看 AWS Key Management Service 密钥的别名。

  • log— 允许委托人描述与提出请求的账户关联的 Amazon Logs CloudWatch 日志组。这是必需的,这样委托人才能查看适用于 Windows 文件服务器的文件系统的现有文件访问审核配置。FSx

  • firehose— 允许委托人描述与提出请求的账户关联的 Amazon Data Firehose 传输流。这是必需的,这样委托人才能查看适用于 Windows 文件服务器的文件系统的现有文件访问审核配置。FSx

要查看此策略的权限,请参阅《 AWS 托管策略参考指南》mazonFSxConsoleReadOnlyAccess中的 A

AWS 托管策略:A mazonFSx ReadOnlyAccess

您可以将AmazonFSxReadOnlyAccess策略附加到您的IAM身份。

该策略包含以下权限。

  • fsx— 允许委托人在 Amazon FSx 管理控制台中查看有关亚马逊FSx文件系统的信息,包括所有标签。

  • ec2— 对可与一起使用的所有安全组提供增强的安全组验证VPC。

要查看此策略的权限,请参阅《 AWS 托管策略参考指南》mazonFSxReadOnlyAccess中的 A

亚马逊FSx更新了托 AWS 管政策

查看FSx自该服务开始跟踪这些变更以来亚马逊 AWS 托管政策更新的详细信息。要获取有关此页面变更的自动提醒,请在 Amazon FSx 适用于 ONTAP 的 Amazon FSx 的文档历史记录 NetApp 页面上订阅 RSS Feed。

更改 描述 日期

A mazonFSx ServiceRolePolicy-更新现有政策

Amazon FSx 添加了新权限ec2:GetSecurityGroupsForVpc,允许委托人对可与一起使用的所有安全组提供增强的安全组VPC验证。

 2024 年 1 月 9 日

A mazonFSx ReadOnlyAccess-更新现有政策

Amazon FSx 添加了新权限ec2:GetSecurityGroupsForVpc,允许委托人对可与一起使用的所有安全组提供增强的安全组VPC验证。

 2024 年 1 月 9 日

A mazonFSx ConsoleReadOnlyAccess-更新现有政策

Amazon FSx 添加了新权限ec2:GetSecurityGroupsForVpc,允许委托人对可与一起使用的所有安全组提供增强的安全组VPC验证。

 2024 年 1 月 9 日

A mazonFSx FullAccess-更新现有政策

Amazon FSx 添加了新权限ec2:GetSecurityGroupsForVpc,允许委托人对可与一起使用的所有安全组提供增强的安全组VPC验证。

 2024 年 1 月 9 日

A mazonFSx ConsoleFullAccess-更新现有政策

Amazon FSx 添加了新权限ec2:GetSecurityGroupsForVpc,允许委托人对可与一起使用的所有安全组提供增强的安全组VPC验证。

 2024 年 1 月 9 日

A mazonFSx FullAccess-更新现有政策

Amazon FSx 增加了新的权限,允许用户对开放ZFS文件系统执行跨区域和跨账户数据复制。FSx

 2023 年 12 月 20 日

A mazonFSx ConsoleFullAccess-更新现有政策

Amazon FSx 增加了新的权限,允许用户对开放ZFS文件系统执行跨区域和跨账户数据复制。FSx

 2023 年 12 月 20 日

A mazonFSx FullAccess-更新现有政策

Amazon FSx 添加了一项新权限,允许用户按需复制开放ZFS文件系统的卷。FSx

 2023 年 11 月 26 日

A mazonFSx ConsoleFullAccess-更新现有政策

Amazon FSx 添加了一项新权限,允许用户按需复制开放ZFS文件系统的卷。FSx

 2023 年 11 月 26 日

A mazonFSx FullAccess-更新现有政策

Amazon FSx 添加了新的权限,使用户能够查看、启用和禁用FSx对ONTAP多可用区文件系统的共享VPC支持。

 2023 年 11 月 14 日

A mazonFSx ConsoleFullAccess-更新现有政策

Amazon FSx 添加了新的权限,使用户能够查看、启用和禁用FSx对ONTAP多可用区文件系统的共享VPC支持。

 2023 年 11 月 14 日

A mazonFSx FullAccess-更新现有政策

亚马逊FSx增加了新的权限,FSx允许亚马逊管理开放式ZFS多可用区文件系统的网络配置。FSx

 2023 年 8 月 9 日

AWS 托管策略:A mazonFSx ServiceRolePolicy — 更新现有策略

亚马逊FSx修改了现有cloudwatch:PutMetricData权限,以便亚马逊将 CloudWatch 指标FSx发布到AWS/FSx命名空间。

 2023 年 7 月 24 日

A mazonFSx FullAccess-更新现有政策

Amazon FSx 更新了政策,删除了fsx:*权限并添加了具体fsx操作。

 2023 年 7 月 13 日

A mazonFSx ConsoleFullAccess-更新现有政策

Amazon FSx 更新了政策,删除了fsx:*权限并添加了具体fsx操作。

 2023 年 7 月 13 日

A mazonFSx ConsoleReadOnlyAccess-更新现有政策

亚马逊FSx增加了新的权限,使用户能够在亚马逊FSx控制台中查看 Windows 文件服务器文件系统的增强性能指标和建议的操作。FSx

 2022 年 9 月 21 日

A mazonFSx ConsoleFullAccess-更新现有政策

亚马逊FSx增加了新的权限,使用户能够在亚马逊FSx控制台中查看 Windows 文件服务器文件系统的增强性能指标和建议的操作。FSx

 2022 年 9 月 21 日

A mazonFSx ReadOnlyAccess — 已开始追踪政策

该政策授予对所有 Amazon FSx 资源以及与之关联的任何标签的只读访问权限。

 2022 年 2 月 4 日

A mazonFSx DeleteServiceLinkedRoleAccess — 已开始追踪政策

此策略授予管理权限,FSx允许亚马逊删除其对 Amazon S3 访问权限的服务关联角色。

 2022 年 1 月 7 日

A mazonFSx ServiceRolePolicy-更新现有政策

亚马逊FSx增加了新的权限,FSx允许亚马逊管理亚马逊 NetApp ONTAP文件FSx系统的网络配置。

 2021 年 9 月 2 日

A mazonFSx FullAccess-更新现有政策

亚马逊FSx添加了新的权限,FSx允许亚马逊在EC2路由表上为限定范围的呼叫创建标签。

 2021 年 9 月 2 日

A mazonFSx ConsoleFullAccess-更新现有政策

亚马逊FSx增加了新的权限,允许亚马逊FSxFSx为 NetApp ONTAP多可用区文件系统创建亚马逊。

 2021 年 9 月 2 日

A mazonFSx ConsoleFullAccess-更新现有政策

亚马逊FSx添加了新的权限,FSx允许亚马逊在EC2路由表上为限定范围的呼叫创建标签。

 2021 年 9 月 2 日

A mazonFSx ServiceRolePolicy-更新现有政策

亚马逊FSx增加了新的权限,FSx允许亚马逊描述和写入 CloudWatch 日志流。

这是必需的,这样用户才能使用日志查看 Windows 文件服务器文件系统的文件访问审核 CloudWatch 日志。FSx

 2021 年 6 月 8 日

A mazonFSx ServiceRolePolicy-更新现有政策

亚马逊FSx增加了新的权限,FSx允许亚马逊描述和写入亚马逊数据 Firehose 传输流。

这是必需的,这样用户才能使用 Amazon Data Firehose 查看FSx适用于 Windows 文件服务器的文件系统的文件访问审核日志。

 2021 年 6 月 8 日

A mazonFSx FullAccess-更新现有政策

Amazon FSx 增加了新的权限,允许委托人描述和创建 CloudWatch 日志组、日志流以及将事件写入日志流。

这是必需的,这样委托人才能使用日志查看 Windows 文件服务器文件系统的文件访问审核 CloudWatch 日志。FSx

 2021 年 6 月 8 日

A mazonFSx FullAccess-更新现有政策

亚马逊FSx增加了新的权限,允许委托人向亚马逊数据Firehose描述和写入记录。

这是必需的,这样用户才能使用 Amazon Data Firehose 查看FSx适用于 Windows 文件服务器的文件系统的文件访问审核日志。

 2021 年 6 月 8 日

A mazonFSx ConsoleFullAccess-更新现有政策

Amazon FSx 增加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Logs CloudWatch 日志组。

这是必需的,这样委托人才能在为 Windows 文件服务器文件系统配置文件访问审计时选择现有的 CloudWatch 日志日志组。FSx

 2021 年 6 月 8 日

A mazonFSx ConsoleFullAccess-更新现有政策

亚马逊FSx增加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Data Firehose 传输流。

这是必需的,这样委托人才能在为 Windows 文件服务器文件系统配置文件访问审计时选择现有的 Fire FSx hose 传送流。

 2021 年 6 月 8 日

A mazonFSx ConsoleReadOnlyAccess-更新现有政策

Amazon FSx 增加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Logs CloudWatch 日志组。

这是必需的,这样委托人才能查看适用于 Windows 文件服务器的文件系统的现有文件访问审核配置。FSx

 2021 年 6 月 8 日

A mazonFSx ConsoleReadOnlyAccess-更新现有政策

亚马逊FSx增加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Data Firehose 传输流。

这是必需的,这样委托人才能查看适用于 Windows 文件服务器的文件系统的现有文件访问审核配置。FSx

 2021 年 6 月 8 日

亚马逊FSx开始追踪变更

亚马逊FSx开始跟踪其 AWS 托管政策的变更。

 2021 年 6 月 8 日