AWS Transfer Famil AWS y 的托管政策 - AWS Transfer Family
AWSTransferConsoleFullAccessAWSTransferFullAccessAWSTransferLoggingAccessAWSTransferReadOnlyAccess策略更新

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Transfer Famil AWS y 的托管政策

要向用户、群组和角色添加权限,使用 AWS 托管策略比自己编写策略要容易得多。创建 AWS Identity and Access Management (IAM) 客户托管策略仅向您的团队提供他们所需的权限需要时间和专业知识。要快速入门,您可以使用我们的 AWS 托管策略。这些策略涵盖常见使用案例,可在您的 AWS 账户中使用。有关 AWS 托管策略的更多信息,请参阅《IAM用户指南》中的AWS 托管策略。有关所有 AWS 托管策略的详细列表,请参阅AWS 托管策略参考指南

AWS 服务维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 管理型策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 AWS 管理型策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。

此外,还 AWS 支持跨多个服务的工作职能的托管策略。例如,ReadOnlyAccess AWS 托管策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动新功能时, AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅《IAM用户指南》中的工作职能AWS 托管策略

AWS 托管策略: AWSTransferConsoleFullAccess

AWSTransferConsoleFullAccess政策提供通过 AWS 管理控制台对 Transfer Family 的完全访问权限。

权限详细信息

该策略包含以下权限。

  • acm:ListCertificates— 授予检索证书 Amazon 资源名称 (ARNs) 列表和每个证书的域名的权限ARN。

  • ec2:DescribeAddresses – 授予权限以描述一个或多个弹性 IP 地址。

  • ec2:DescribeAvailabilityZones – 授予权限以描述可供您使用的一个或多个可用区。

  • ec2:DescribeNetworkInterfaces – 授予权限以描述一个或多个弹性网络接口。

  • ec2:DescribeSecurityGroups – 授予权限以描述一个或多个安全组。

  • ec2:DescribeSubnets – 授予权限以描述一个或多个子网。

  • ec2:DescribeVpcs— 授予描述一个或多个虚拟私有云的权限 (VPCs)。

  • ec2:DescribeVpcEndpoints— 授予描述一个或多个VPC端点的权限。

  • health:DescribeEventAggregates – 返回每种事件类型的(问题、计划的更改和账户通知)事件数。

  • iam:GetPolicyVersion – 授予权限以检索有关指定托管策略的版本的信息,包括策略文档。

  • iam:ListPolicies – 授予权限以列出所有托管策略。

  • iam:ListRoles— 授予列出具有指定路径前缀的IAM角色的权限。

  • iam:PassRole— 授予将IAM角色传递给 Transfer Family 的权限。有关更多详细信息,请参阅向用户授予将角色传递给的权限 AWS 服务

  • route53:ListHostedZones – 授予权限以获取与当前 AWS 账户关联的公有和私有托管区域列表。

  • s3:ListAllMyBuckets – 授予权限以列出该请求的经身份验证的发件人拥有的所有桶。

  • transfer:* — 授予对 Transfer Family 资源的访问权限。星号 (*) 授权访问所有资源。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "transfer.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "acm:ListCertificates",
                "ec2:DescribeAddresses",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeVpcEndpoints",
                "health:DescribeEventAggregates",
                "iam:GetPolicyVersion",
                "iam:ListPolicies",
                "iam:ListRoles",
                "route53:ListHostedZones",
                "s3:ListAllMyBuckets",
                "transfer:*"
            ],
            "Resource": "*"
        }
    ]
}

AWS 托管策略: AWSTransferFullAccess

AWSTransferFullAccess 策略提供对 Transfer Family 服务的完全访问权限。

权限详细信息

该策略包含以下权限。

  • transfer:* — 授予对 Transfer Family 资源的访问权限。星号 (*) 授权访问所有资源。

  • iam:PassRole— 授予将IAM角色传递给 Transfer Family 的权限。有关更多详细信息,请参阅向用户授予将角色传递给的权限 AWS 服务

  • ec2:DescribeAddresses – 授予权限以描述一个或多个弹性 IP 地址。

  • ec2:DescribeNetworkInterfaces – 授予权限以描述一个或多个网络接口。

  • ec2:DescribeVpcEndpoints— 授予描述一个或多个VPC端点的权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "transfer:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "transfer.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeAddresses"
            ],
            "Resource": "*"
        }
    ]
}

AWS 托管策略: AWSTransferLoggingAccess

AWSTransferLoggingAccess政策授予 T AWS ransfer Family 创建日志流和群组以及将日志事件存入您的账户的完全访问权限。

权限详细信息

此策略包括以下权限 Amazon CloudWatch Logs。

  • CreateLogStream — 授权主体创建日志流。

  • DescribeLogStreams— 授权主体列出日志组的日志流。

  • CreateLogGroup — 授权主体创建日志组。

  • PutLogEvents – 授予权限以将一批日志事件上传到指定的日志流。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:CreateLogGroup",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        }
    ]
}

AWS 托管策略: AWSTransferReadOnlyAccess

AWSTransferReadOnlyAccess 策略提供对 Transfer Family 服务的只读访问权限。

权限详细信息

此策略包含 Transfer Family 的以下权限。

  • DescribeUser – 授权主体查看用户描述。

  • DescribeServer – 授权主体查看服务器描述。

  • ListUsers – 授予主体列出服务器用户。

  • ListServers – 授权主体列出账户服务器。

  • TestIdentityProvider – 授权主体策略配置身份提供程序是否设置得当。

  • ListTagsForResource – 授予主体列出资源标签的权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "transfer:DescribeUser",
                "transfer:DescribeServer",
                "transfer:ListUsers",
                "transfer:ListServers",
                "transfer:TestIdentityProvider",
                "transfer:ListTagsForResource"
            ],
            "Resource": "*"
        }
    ]
}

AWS 将 Family 更新转移到 AWS 托管政策

查看 Transfer Family AWS 托管政策自该服务开始跟踪这些变更以来这些更新的详细信息。 AWS 要获得有关此页面变更的自动提醒,请订RSS阅该的文档历史记录 AWS Transfer Family页面上的订阅源。

更改 描述 日期

文档更新

为每个 Transfer Family 托管策略添加章节。

2022 年 1 月 27 日

AWSTransferReadOnlyAccess – 更新到现有策略

AWS Transfer Family 添加了允许读取策略的新权限 AWS Managed Microsoft AD。

2021 年 9 月 30 日

AWS Transfer Family 开始追踪变更

AWS Transfer Family 开始跟踪其 AWS 托管政策的变更。

 2021 年 6 月 15 日