Overview管理 DataSync 的存取許可 - AWS DataSync

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Overview管理 DataSync 的存取許可

每項 AWS 資源均由某個 AWS 帳戶 帳戶所持有,而建立或存取資源的許可則由許可政策管理。帳戶管理員可以將許可政策連接到 IAM 身分 (即使用者、群組與角色) 以及某些服務 (例如 AWS Lambda) 也支援將許可政策連接到資源。

注意

帳戶管理員 (或管理員使用者) 是具有管理員權限的使用者。如需詳細資訊,請參閱「」IAM 最佳實務中的IAM User Guide

當您授予許可時,能夠決定取得許可的對象、這些對象取得許可的資源,以及可對上述資源進行的特定動作。

DataSync 資源和操作

在 DataSync 中,主要資源為任務、位置、代理程式和任務執行。

這些資源都有與其相關的唯一 Amazon Resource Name (ARN),如下表所示。

資源類型 ARN 格式
任務 ARN

arn:aws:datasync:region:account-id:task/task-id

位置 ARN

arn:aws:datasync:region:account-id:location/location-id

客服人員 ARN

arn:aws:datasync:region:account-id:agent/agent-id

任務執行 ARN

arn:aws:datasync:region:account-id:task/task-id/execution/exec-id

若要授予特定 API 操作的許可 (如建立任務),DataSync 會定義一組您可在許可政策中指定的動作,授予特定 API 操作的許可。API 操作會需要多個動作的許可。如需所有 DataSync API 動作及其所套用之資源的清單,請參閱。DataSync API 權限:動作、資源

了解資源所有權

一個資源擁有者是AWS 帳戶創建了資源。也就是說,資源擁有者是AWS 帳戶的主要實體(根帳戶、IAM 使用者或 IAM 角色) 會驗證建立資源的請求。下列範例說明此行為的運作方式:

  • 如果您使用AWS 帳戶來建立任務,您的AWS 帳戶是資源的擁有者 (在 DataSync 中,資源就是任務)。

  • 如果您在AWS 帳戶並授予對的許可CreateTask動作傳送給該使用者,該使用者就可以建立任務。但是,您的AWS 帳戶(即該使用者所屬的) 擁有任務資源。

  • 如果您在AWS 帳戶具有建立任務的許可,任何能擔任該角色的人都能建立任務。您的AWS 帳戶(即該角色所屬的) 擁有任務資源。

管理資源存取

許可政策描述誰可以存取哪些資源。下一節說明可用來建立許可政策的選項。

注意

本節討論如何在 DataSync 環境下使用 IAM。它不提供 IAM 服務的詳細資訊。如需完整的 IAM 文件,請參閱《IAM 使用者指南》中的什麼是 IAM?。如需 IAM 政策語法和說明的詳細資訊,請參閱。AWS Identity and Access Management政策參考中的IAM User Guide

連接到 IAM 身分的政策稱為身分類型政策 (IAM 政策),而連接到資源的政策稱為資源類型政策。DataSync 僅支援以身分為基礎的政策 (IAM 政策)。

身分類型政策 (IAM 政策)

您可以將政策連接到 IAM 身分。例如,您可以執行下列操作:

  • 將許可政策連接至您帳戶中的使用者或群組-帳戶管理員可以使用與特定使用者關聯的許可政策,授予該使用者建立 DataSync 資源 (例如任務、位置、代理程式或任務執行) 的許可。

  • 將許可政策連接至角色 (授予跨帳戶許可):您可以將身分類型許可政策連接至 IAM 角色,藉此授予跨帳戶許可。例如,帳戶 A 中的管理員可以建立角色,將跨帳戶許可授予另一個AWS 帳戶(例如,帳戶 B) 或AWS服務,如下所示:

    1. 帳戶 A 管理員建立 IAM 角色,並將許可政策連接到可授與帳戶 A 中資源許可的角色。

    2. 帳戶 A 管理員將信任政策連接至該角色,識別帳戶 B 做為可擔任該角的委託人。

    3. 帳戶 B 管理員即可將擔任該角色的許可委派給帳戶 B 中的任何使用者。這麼做可讓帳戶 B 的使用者建立或存取帳戶 A 的資源。如果您想要授予 AWS 服務擔任該角色的許可,則信任政策中的委託人也可以是 AWS 服務委託人。

    如需有關使用 IAM 來委派許可的詳細資訊,請參閱《IAM 使用者指南》中的存取管理

下列範例政策授予對所有List*動作上的所有資源。此動作是唯讀動作。因此,政策不允許使用者變更資源的狀態。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllListActionsOnAllResources", "Effect": "Allow", "Action": [ "datasync:List*" ], "Resource": "*" } ] }

如需搭配 DataSync 使用以身分為基礎的政策的詳細資訊,請參閱針對 DataSync 使用以身分為基礎的政策 (IAM 政策)。如需使用者、群組、角色和許可的詳細資訊,請參閱 IAM 使用者指南中的身分 (使用者、群組和角色)

資源型政策

其他服務 (例如 Amazon S3) 也支援以資源為基礎的許可政策。例如,您可以將政策連接至 Amazon S3 儲存貯體,以管理該儲存貯體的存取許可。DataSync 不支援資源型政策。

指定政策元素:動作、效果、資源和委託人

對於每個 DataSync 資源 (請參閱DataSync API 權限:動作、資源),該服務定義了一組 API 操作 (請參閱動作。若要授予對這些 API 操作的許可,DataSync 會定義一組您可以在政策中指定的動作。例如,針對 DataSync 資源,定義的動作如下:CreateTaskDeleteTask,以及DescribeTask。執行一項 API 操作可能需要多個動作的許可。

以下是最基本的政策元素:

  • 資源 – 在政策中,您可以使用 Amazon Resource Name (ARN) 來識別要套用政策的資源。針對 DataSync 資源,您可以使用萬用字元(*)中的 IAM 政策。如需詳細資訊,請參閱 DataSync 資源和操作

  • 動作:您使用動作關鍵字識別您要允許或拒絕的資源操作。例如,根據指定的Effect元素,datasync:CreateTask許可允許或拒絕執行 DataSync 的使用者許可CreateTaskoperation.

  • 效果— 您可指定當使用者要求特定動作時會有什麼效果 — 此效果可以是允許或拒絕。如果您未明確授予存取 (允許) 資源,則隱含地拒絕存取。您也可以明確拒絕資源存取,這樣做可確保使用者無法存取資源,即使不同政策授予存取也是一樣。

  • 委託人:在以身分為基礎的政策 (IAM 政策) 中,政策所連接的使用者就是隱含委託人。對於資源類型政策,您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於資源類型政策)。DataSync 不支援資源型政策。

若要深入了解有關 IAM 政策語法和說明的詳細資訊,請參閱AWS Identity and Access Management政策參考中的IAM User Guide

如需詳列所有 DataSync API 動作的資料表,請參閱DataSync API 權限:動作、資源

在政策中指定條件

當您授予許可時,您可使用 IAM 政策語言來指定授予許可時,政策應該何時生效的條件。例如,建議只在特定日期之後套用政策。如需使用政策語言指定條件的詳細資訊,請參閱IAM 使用者指南中的條件

欲表示條件,您可以使用預先定義的條件金鑰。DataSync 沒有特定的條件金鑰。不過,您可以使用適合的完整 AWS 條件金鑰。如需全 AWS 金鑰的完整清單,請參閱 IAM 使用者指南中的可用的金鑰

控制存取

在本節中,您可以找到如何控制AWS的費用。

Authentication

您可以使用下列身分類型來存取 AWS:

  • AWS 帳戶 根使用者:在您首次建立 AWS 帳戶 時,您會先有單一的登入身分,可以完整存取帳戶中所有 AWS 服務與資源。此身分稱為 AWS 帳戶 根使用者,使用建立帳戶時所使用的電子郵件地址和密碼即可登入並存取。強烈建議您不要以根使用者處理日常作業,即使是管理作業。反之,請遵循僅將根使用者用來建立您第一個 IAM 使用者的最佳實務。接著請妥善鎖定根使用者憑證,只用來執行少數的帳戶與服務管理作業。

  • IAM 使用者— 一個IAM 使用者是您AWS 帳戶具有特定的自訂許可 (例如,在 DataSync 中建立任務的許可)。您可以使用 IAM 使用者名稱和密碼登入安全 AWS 網頁,例如,AWS Management ConsoleAWS 開發論壇AWS Support 中心

     

    除了使用者名稱和密碼之外,您也可以為每個使用者產生存取金鑰。您可以使用這些金鑰,以程式設計的方式存取 AWS 服務,無論是透過其中一個開發套件或使用 AWS Command Line Interface (CLI)。此開發套件和 CLI 工具使用存取金鑰,以加密方式簽署您的請求。如果您不使用 AWS 工具,您必須自行簽署請求。DataSync 支援Signature 第 4 版,這是用來驗證傳入 API 請求的通訊協定。如需驗證請求的詳細資訊,請參閱《AWS 一般參考》中的簽章版本 4 簽署程序

     

  • IAM 角色IAM 角色是您可以在帳戶中建立的另一種 IAM 身分,具有特定的許可。IAM 角色類似於 IAM 使用者,因為同樣是 AWS 身分,也有許可政策可決定該身分在 AWS 中可執行和不可執行的操作。但是,角色的目的是讓需要它的任何人可代入,而不是單獨地與某個人員關聯。此外,角色沒有與之關聯的標準長期憑證,例如密碼或存取金鑰。反之,當您擔任角色時,其會為您的角色工作階段提供臨時安全性登入資料。使用臨時登入資料的 IAM 角色在下列情況中非常有用:

     

    • 聯合身分使用者存取:並非建立 IAM 使用者,而是使用來自 AWS Directory Service、您的企業使用者目錄或 Web 身分供應商現有的使用者身分。這些稱為聯合身分使用者。透過身分供應商來請求存取時,AWS 會指派角色給聯合身分使用者。如需聯合身份使用者的詳細資訊,請參閱IAM 使用者指南中的聯合身份使用者和角色

       

    • AWS 服務存取 – 服務角色是服務擔任的 IAM 角色,可代您執行動作。IAM 管理員可以從 IAM 內建立、修改和刪除服務角色。如需詳細資訊,請參閱IAM 使用者指南中的建立角色以委派許可給 AWS 服務

       

    • 在 Amazon EC2 上執行的應用程式:針對在 EC2 執行個體上執行並提出 AWS CLI 和 AWS API 請求的應用程式,您可以使用 IAM 角色來管理臨時登入資料。這是在 EC2 執行個體內存放存取金鑰的較好方式。若要指派 AWS 角色給 EC2 執行個體並提供其所有應用程式使用,您可以建立連接到執行個體的執行個體描述檔。執行個體描述檔包含該角色,並且可讓 EC2 執行個體上執行的程式取得臨時憑證。如需詳細資訊,請參閱IAM 使用者指南中的利用 IAM 角色來授予許可給 Amazon EC2 執行個體上執行的應用程式

Permissions

您可以持有效登入資料驗證請求,但還須具備許可才能建立或存取 DataSync 資源。例如,您必須具有許可,才能在 DataSync 中建立任務。

以下章節提供概觀並說明如何管理 DataSync 的許可。