針對 DataSync 使用以身分為基礎的政策 (IAM 政策) - AWS DataSync

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

針對 DataSync 使用以身分為基礎的政策 (IAM 政策)

帳戶管理員可以將以身分為基礎的政策連接到 IAM 身分 (即使用者、群組和角色)。您也可以將身分識別型原則附加至服務角色。

本主題提供以身分為基礎的政策範例,您可以使用這些政策授予 IAM 身分的許可。

重要

我們建議您先檢閱簡介性主題,其說明可供您管理 DataSync 資源存取的基本概念和選項。如需詳細資訊,請參閱 Overview管理 DataSync 的存取許可

本主題中的各節涵蓋下列內容:

以下顯示授予使用特定 DataSync 動作之許可的政策範例。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsSpecifiedActionsOnAllTasks", "Effect": "Allow", "Action": [ "datasync:DescribeTask", "datasync:ListTasks" ], "Resource": "arn:aws:datasync:us-east-2:111222333444:task/*" }, }

此政策具有一個陳述式 (請注意ActionResource元素),它會執行以下操作:

  • 陳述式會授與執行兩個 DataSync 動作的權限 (datasync:DescribeTaskdatasync:ListTasks)通過使用Amazon Resource Name (ARN)

  • 在此陳述式中,任務 ARN 指定萬用字元 (*),因為 IAM 使用者、群組或角色可以在所有任務上執行兩個動作。若要限制特定任務的動作許可,請在該陳述式中指定任務 ID 而非萬用字元。

AWSDataSync 的受管政策

AWS 透過提供獨立的 IAM 政策來解決許多常用案例,這些政策由 所建立與管理。AWS受管政策授予常見使用案例中必要的許可,讓您免於查詢需要哪些許可。如需有關 AWS 受管政策的詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策

所建立的受管理原則AWS授予常用案例所需的許可。您可以將這些政策連接至 IAM 使用者、群組和角色 (根據其對 DataSync 所需的存取):

如下所示AWS受管政策專屬於,可連接到您帳戶中的使 DataSync:

注意

您可以登入 IAM 主控台並在該處搜尋特定政策,來檢閱這些受管政策。

您也可以建立自己的自訂 IAM 政策,以允許 AWS DataSync API 動作的許可。您可以將這些自訂政策連接至需要這些許可的 IAM 使用者、群組或角色。如需有關 AWS 受管政策的詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策

使用 DataSync 主控台所需的許可

若要使用 DataSync 主控台,您必須擁有AWSDataSyncFullAccess許可。

以下範例政策授予這些許可。此範例為AWS受管政策,提供 DataSync 的唯讀存取權。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "datasync:*", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:ModifyNetworkInterfaceAttribute", "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:DescribeMountTargets", "iam:GetRole", "iam:ListRoles", "logs:CreateLogGroup", "logs:DescribeLogGroups", "s3:ListAllMyBuckets", "s3:ListBucket" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "datasync.amazonaws.com" ] } } } ] }

客戶受管政策範例

在本節中,您可以找到授予各種 DataSync 動作許可的使用者政策範例。這些政策會在您使用AWS軟體開發套件和AWS Command Line Interface(AWS CLI。當您使用主控台時,您必須授予主控台特定的額外許可,如所介紹。使用 DataSync 主控台所需的許可

注意

所有範例皆使用美國西部 (奧勒岡) 區域 (us-west-2) 且包含虛構帳戶 ID 和資源 ID。

範例 1:建立允許 DataSync 存取您的 Amazon S3 儲存貯體的信任關係

以下為允許 DataSync 擔任 IAM 角色的信任政策範例。此角色允許 DataSync 存取 S3 儲存貯體。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "datasync.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

範例 2:允許 DataSync 讀取和寫入您的 Amazon S3 儲存貯體

以下範例政策授予 DataSync 讀寫 S3 儲存貯體資料的最少許可。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetBucketLocation", "s3:ListBucket", "s3:ListBucketMultipartUploads" ], "Effect": "Allow", "Resource": "YourS3BucketArn" }, { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:GetObject", "s3:ListMultipartUploadParts", "s3:GetObjectTagging", "s3:PutObjectTagging", "s3:PutObject" ], "Effect": "Allow", "Resource": "YourS3BucketArn/*" } ] }

範例 3:允許 DataSync 上傳日誌到 CloudWatch 日誌群組

DataSync 需要許可才能夠上傳日誌到您的 Amazon CloudWatch Log 群組。您可以使用 CloudWatch Log 群組對您的任務監控和除錯。

如需授予此類許可的 IAM 政策範例,請參閱。允許 DataSync 上傳日誌到 Amazon CloudWatch 日誌群組