本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon FSx 的動作、資源與條件索引鍵
Amazon FSx (服務字首:fsx) 提供下列服務特有的資源、動作和條件內容索引鍵,可用於 IAM 許可政策。
參考資料:
-
了解如何設定此服務。
-
檢視可供此服務使用的 API 操作清單。
-
了解如何使用 IAM 許可政策來保護此服務及其資源。
Amazon FSx 定義的動作
您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。在政策中使用動作時,通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型,則您可以在具有該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您使用 IAM 政策中的 Resource 元素限制資源存取,則每種必要的資源類型必須要有 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。
「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。
注意
資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。
如需下表各欄的詳細資訊,請參閱動作資料表。
| 動作 | 描述 | 存取層級 | 資源類型 (*必填項目) | 條件索引鍵 | 相依動作 |
|---|---|---|---|---|---|
| AssociateFileGateway [僅限許可] | 准許將 File Gateway 執行個體與 Amazon FSx for Windows File Server 檔案系統建立關聯 | 寫入 | |||
| AssociateFileSystemAliases | 准許將 DNS 別名與 Amazon FSx for Windows File Server 檔案系統關聯 | 寫入 | |||
| BypassSnaplockEnterpriseRetention [僅限許可] | 授與允許刪除包含 WORM (一次寫入、讀取多個) 檔案的 ONTAP SnapLock 企業磁碟區 FSx 的權限,並具有作用中保留期間 | 許可管理 | |||
| CancelDataRepositoryTask | 准許取消資料儲存庫任務 | 寫入 | |||
| CopyBackup | 准許複製備份 | 寫入 |
fsx:TagResource |
||
| CopySnapshotAndUpdateVolume | 准許使用來自另一個 Amazon FSx for OpenZFS 檔案系統的快照來更新現有磁碟區 | 寫入 | |||
| CreateBackup | 准許建立 Amazon FSx 檔案系統的新備份或 Amazon FSx 磁碟區 | 寫入 |
fsx:TagResource |
||
| CreateDataRepositoryAssociation | 准許為 Amazon FSx for Lustre 檔案系統建立新資料儲存庫關聯 | 寫入 |
fsx:TagResource |
||
| CreateDataRepositoryTask | 准許為 Amazon FSx for Lustre 檔案系統建立新資料儲存庫任務 | 寫入 |
fsx:TagResource |
||
| CreateFileCache | 准許建立新的、空的 Amazon 檔案快取 | 寫入 |
ec2:DescribeSecurityGroups ec2:DescribeSubnets ec2:DescribeVpcs ec2:GetSecurityGroupsForVpc fsx:CreateDataRepositoryAssociation fsx:TagResource logs:CreateLogGroup logs:CreateLogStream logs:PutLogEvents s3:ListBucket |
||
| CreateFileSystem | 准許建立新的、空的 Amazon FSx 檔案系統 | 寫入 |
ec2:GetSecurityGroupsForVpc fsx:TagResource |
||
| CreateFileSystemFromBackup | 准許從現有備份建立新 Amazon FSx 檔案系統 | 寫入 |
ec2:GetSecurityGroupsForVpc fsx:TagResource |
||
| CreateSnapshot | 准許在磁碟區上建立新快照 | 寫入 |
fsx:TagResource |
||
| CreateStorageVirtualMachine | 准許在 Amazon FSx for Ontap 檔案系統中建立新的儲存虛擬機器 | 寫入 |
fsx:TagResource |
||
| CreateVolume | 准許建立新的磁碟區 | 寫入 |
fsx:TagResource |
||
| CreateVolumeFromBackup | 准許從備份中建立新的磁碟區 | 寫入 |
fsx:TagResource |
||
| DeleteBackup | 准許刪除備份,刪除其內容。刪除後,備份會永久消失,其資料也不再可用 | 寫入 | |||
| DeleteDataRepositoryAssociation | 准許刪除資料儲存庫關聯 | 寫入 | |||
| DeleteFileCache | 准許刪除檔案快取,刪除其內容。 | 寫入 |
fsx:DeleteDataRepositoryAssociation |
||
| DeleteFileSystem | 准許刪除檔案系統,刪除檔案系統內容及檔案系統的任何現有自動備份 | 寫入 |
fsx:CreateBackup fsx:TagResource |
||
| DeleteResourcePolicy [僅限許可] | 需要透過 AWS Resource Access Manager (RAM) 管理 FSx 磁碟區的跨帳戶共用。 PutResourcePolicy 並且也 GetResourcePolicy 是必需的 | 許可管理 | |||
| DeleteSnapshot | 准許在磁碟區上刪除快照 | 寫入 | |||
| DeleteStorageVirtualMachine | 准許刪除儲存虛擬機器,刪除其內容 | 寫入 | |||
| DeleteVolume | 准許刪除磁碟區,刪除其內容及磁碟區的任何現有自動備份 | 寫入 |
fsx:TagResource |
||
| DescribeAssociatedFileGateways [僅限許可] | 准許描述與 Amazon FSx for Windows File Server 檔案系統相關聯的 File Gateway 執行個體 | 讀取 | |||
| DescribeBackups | 授予權限,以返回您正在調用的端點 AWS 帳戶 中擁有 AWS 區域 的所有備份的描述 | 讀取 | |||
| DescribeDataRepositoryAssociations | 授予權限,以返回您在調用的端點 AWS 帳戶 中擁有 AWS 區域 的所有數據存儲庫關聯的描述 | 讀取 | |||
| DescribeDataRepositoryTasks | 授予權限,以返回您在調用的端點 AWS 帳戶 中擁有 AWS 區域 的所有數據存儲庫任務的描述 | 讀取 | |||
| DescribeFileCaches | 授予權限,以返回您正在調用的端點 AWS 帳戶 中擁有 AWS 區域 的所有文件緩存的描述 | 讀取 | |||
| DescribeFileSystemAliases | 准許傳回 Amazon FSx for Windows File Server 檔案系統所擁有之所有 DNS 別名的描述 | 讀取 | |||
| DescribeFileSystems | 授予權限,以傳回您呼叫的端點 AWS 帳戶 中您擁有 AWS 區域 的所有檔案系統描述 | 讀取 | |||
| DescribeSharedVpcConfiguration | 准許傳回帳戶中是否允許來自參與者帳戶的 FSx 路由表更新的描述 | 讀取 | |||
| DescribeSnapshots | 授予權限,以返回您在調用的端點 AWS 帳戶 中擁有 AWS 區域 的所有快照的描述 | 讀取 | |||
| DescribeStorageVirtualMachines | 授予權限,以傳回您在呼叫的端點 AWS 帳戶 中擁有 AWS 區域 的所有儲存虛擬機器描述 | 讀取 | |||
| DescribeVolumes | 授予權限,以返回您正在調用的端點 AWS 帳戶 中擁有 AWS 區域 的所有卷的描述 | 讀取 | |||
| DisassociateFileGateway [僅限許可] | 准許取消 File Gateway 執行個體與 Amazon FSx for Windows File Server 檔案系統的關聯 | 寫入 | |||
| DisassociateFileSystemAliases | 准許將檔案系統別名與 Amazon FSx for Windows File Server 檔案系統取消關聯 | 寫入 | |||
| GetResourcePolicy [僅限許可] | 需要透過 AWS Resource Access Manager (RAM) 管理 FSx 磁碟區的跨帳戶共用。 PutResourcePolicy 並且也 DeleteResourcePolicy 是必需的 | 許可管理 | |||
| ListTagsForResource | 准許列出 Amazon FSx 資源的標籤 | 讀取 | |||
| ManageBackupPrincipalAssociations [僅限許可] | 授與透過 Backup 管理備份主體關聯的 AWS 權限 | 許可管理 | |||
| PutResourcePolicy [僅限許可] | 需要透過 AWS Resource Access Manager (RAM) 管理 FSx 磁碟區的跨帳戶共用。 DeleteResourcePolicy 並且也 GetResourcePolicy 是必需的 | 許可管理 | |||
| ReleaseFileSystemNfsV3Locks | 准許釋放檔案系統 NFS V3 鎖定 | 寫入 | |||
| RestoreVolumeFromSnapshot | 准許從快照還原磁碟區狀態 | 寫入 | |||
| StartMisconfiguredStateRecovery | 准許啟動設定錯誤狀態復原 | 寫入 | |||
| TagResource | 准許標記 Amazon FSx 資源 | 標記 | |||
| UntagResource | 准許將標籤從 Amazon FSx 資源中移除 | 標記 | |||
| UpdateDataRepositoryAssociation | 准許更新資料儲存庫關聯組態 | 寫入 | |||
| UpdateFileCache | 准許更新檔案快取組態 | 寫入 | |||
| UpdateFileSystem | 准許更新檔案系統組態 | 寫入 | |||
| UpdateSharedVpcConfiguration | 准許啟用或停用帳戶中來自參與者帳戶的 FSx 路由表更新 | 寫入 | |||
| UpdateSnapshot | 准許更新快照組態 | 寫入 | |||
| UpdateStorageVirtualMachine | 准許更新儲存虛擬機器組態 | 寫入 | |||
| UpdateVolume | 准許更新磁碟區組態 | 寫入 | |||
Amazon FSx 定義的資源類型
此服務會定義下列資源類型,並可用在 IAM 許可政策陳述式的 Resource 元素中。動作資料表中的每個動作都會指明可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型資料表。
注意
Amazon FSx for Windows File Server、Lustre 和 Ontap 共用某些相同資源類型,每個類型都具有相同的 ARN 格式。
| 資源類型 | ARN | 條件索引鍵 |
|---|---|---|
| file-system |
arn:${Partition}:fsx:${Region}:${Account}:file-system/${FileSystemId}
|
|
| file-cache |
arn:${Partition}:fsx:${Region}:${Account}:file-cache/${FileCacheId}
|
|
| backup |
arn:${Partition}:fsx:${Region}:${Account}:backup/${BackupId}
|
|
| storage-virtual-machine |
arn:${Partition}:fsx:${Region}:${Account}:storage-virtual-machine/${FileSystemId}/${StorageVirtualMachineId}
|
|
| task |
arn:${Partition}:fsx:${Region}:${Account}:task/${TaskId}
|
|
| association |
arn:${Partition}:fsx:${Region}:${Account}:association/${FileSystemIdOrFileCacheId}/${DataRepositoryAssociationId}
|
|
| volume |
arn:${Partition}:fsx:${Region}:${Account}:volume/${FileSystemId}/${VolumeId}
|
|
| snapshot |
arn:${Partition}:fsx:${Region}:${Account}:snapshot/${VolumeId}/${SnapshotId}
|
Amazon FSx 的條件索引鍵
Amazon FSx 定義了下列條件索引鍵,可用於 IAM 政策的 Condition 元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵資料表。
若要檢視所有服務都可使用的全域條件索引鍵,請參閱可用全域條件索引鍵。
| 條件索引鍵 | 描述 | 類型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 依要求中傳遞的標籤來篩選存取權 | 字串 |
| aws:ResourceTag/${TagKey} | 依與資源關聯的標籤來篩選存取權 | 字串 |
| aws:TagKeys | 依要求中傳遞的標籤索引鍵來篩選存取權 | ArrayOfString |
| fsx:IsBackupCopyDestination | 依據備份是否為 CopyBackup 作業的目的地備份篩選存取 | Bool |
| fsx:IsBackupCopySource | 依據備份是否為 CopyBackup 作業的來源備份篩選存取 | Bool |
| fsx:NfsDataRepositoryAuthenticationEnabled | 依支援驗證的 NFS 資料儲存庫篩選存取 | Bool |
| fsx:NfsDataRepositoryEncryptionInTransitEnabled | 依支援的 NFS 資料儲存庫篩選存取 encryption-in-transit | Bool |
| fsx:ParentVolumeId | 依針對變換磁碟區操作,磁碟區的包含父系磁碟區篩選存取權 | 字串 |
| fsx:StorageVirtualMachineId | 依針對變換磁碟區操作,磁碟區的包含儲存虛擬機器篩選存取權 | 字串 |
