第 4 步:选择您的安全偏好 - AWS Snowcone 用户指南

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 4 步:选择您的安全偏好

设置安全性可为您的AWS Snow Family 设备任务添加权限和加密设置,以帮助保护传输中的数据。

为您的工作设置安全性

  1. 加密部分中,选择要使用的 KMS 密钥

    • 如果你想使用默认AWS Key Management Service (AWS KMS) 键,请选择 aws/importexport(默认)。这是在未定义其他密钥时保护您的导入和导出任务的默认密钥。

    • 如果您想提供自己的AWS KMS密钥,请选择输入密钥 ARN,在密钥 ARN 框中提供亚马逊资源名称 (ARN),然后选择使用此 KMS 密钥。密钥 ARN 将添加到列表中。

  2. 在 Ser vice(服务访问权限)部分中,执行下列操作之一:

    • 选择创建服务角色,以授予 SAWS now Familice(创建服务角色)以代您使用 Amazon S3 和Simple Notification Service (Amazon SNS) 的权限。该角色向 Snow 服务授予AWS安全令牌服务 (AWSSTS) AssumeRole 信任

    • 选择添加要使用的现有角色,指定所需的 IAM 角色,或者您可以使用默认角色。

      策略名称中,选择要使用的导入策略。

      在访问策略中添加Condition对象aws:SourceAccount和/或aws:SourceARN元素以限制 Snow 服务,使其仅充当一个AWS账号。或者将两者都添加为最严格的限制。

      要限制 Snow 服务,使其仅充当一个或多个账号,请在访问策略中添加一个aws:SourceAccount元素,并将账户 ID 作为值。

      要限制 Snow 服务使其仅充当一个或多个 ARN,请在访问策略中添加一个aws:SourceArn元素并将 ARN 作为值。

    例 限制 Snow 服务操作的Condition异议

    通过 ARN 和账户 ID 限制 Snow 服务操作的示例。

    "Condition": { "StringEquals": { "aws:SourceAccount": "AWS_ACCOUNT_ID" } "ArnLike": { "aws:SourceArn": "arn:aws:snowball:REGION:AWS_ACCOUNT_ID:RESOURCE_ID" } }

    以下显示了策略中包含的这些条件。

    { "Version": "2012-10-17", "Id": "__default_policy_ID", "Statement": [ { "Sid": "__default_statement_ID", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "SNS:GetTopicAttributes", "SNS:SetTopicAttributes", "SNS:AddPermission", "SNS:RemovePermission", "SNS:DeleteTopic", "SNS:Subscribe", "SNS:ListSubscriptionsByTopic", "SNS:Publish" ], "Resource": "arn:aws:sns:us-east-1:123456789012:my-sns-topic", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": "arn:aws:sns:us-east-1:555555555555:my-sns-topic" } } } ] }

    例 Snowcone 设备的策略

    仅限导入角色策略示例

    以下是 S3 仅导入角色策略示例。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketPolicy", "s3:GetBucketLocation", "s3:ListBucketMultipartUploads", "s3:ListBucket", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts", "s3:PutObjectAcl", "s3:GetObject" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET1", "arn:aws:s3:::DOC-EXAMPLE-BUCKET2" ] } ] }
    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "importexport.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

    使用服务器端加密以加密Amazon S3 存储桶

    如果您将服务器端加密,您还必须为您的 IAmazon S3 存储桶加密,您还必须为您的 IAmazon S3 存储桶添加以下语句。AWS KMS

    { "Effect": "Allow", "Action": [ "kms:GenerateDataKey","kms:Decrypt" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111" }
    注意

    您可以修改信任关系并根据客户账号和来源 ARN 限制对该角色的访问权限。有关如何修改信任关系以限制访问的信息,请参阅限制对 Snow 角色策略的访问。

  3. 选择 Next(下一步)。如果选定的 IAM 角色定义了受限访问权限,则如果不满足访问标准,则创建Job 过程将失败。

  4. 选择 Allow

  5. 选择 Next(下一步)