建立 IAM 角色和政策 - AWS Transfer Family

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立 IAM 角色和政策

建立使用者時,您會做出許多關於使用者存取的決策。這些決策包括使用者可以存取哪些 Amazon S3 儲存貯體或 Amazon EFS 檔案系統、每個 Amazon S3 儲存貯體的哪些部分以及檔案系統中的哪些檔案可存取,以及使用者擁有的權限 (例如,PUT或者GET

若要設定存取權,請建立以身分識別為基礎AWS Identity and Access Management(IAM) 提供該存取資訊的政策和角色。在此程序中,您可以為使用者提供 Amazon S3 儲存貯體或 Amazon EFS 檔案系統的存取權,該系統是檔案操作的目標或來源。若要執行此作業,請遵循下列高層級步驟,稍後會詳細進行說明:

  1. 為以下項目建立 IAM 政策AWS Transfer Family。這在中描述為 AWS Transfer Family 建立 IAM 角色

  2. 建立 IAM 角色並附加新的 IAM 政策。請參閱以下範例政策:

    如需有關工作階段政策的資訊,請參閱工作階段政策IAM User Guide

  3. 建立信任關係AWS Transfer Family和 IAM 角色。這在中描述建立信任關係

下列程序說明如何建立 IAM 政策和角色。

建立適用於 AWS Transfer Family 的 IAM 政策

  1. https://console.aws.amazon.com/iam/ 中開啟 IAM 主控台。

  2. 在導覽窗格中,選擇 Policies (政策),然後選擇 Create policy (建立政策)

  3. Create Policy (建立政策) 頁面上,選擇 JSON 標籤。

  4. 在出現的編輯器中,將編輯器的內容取代為要附加到 IAM 角色的 IAM 政策。

    您可以授與讀取/寫入存取權,或限制使用者存取其主目錄。如需詳細資訊,請參閱下列範例:

  5. 選擇檢閱政策並提供政策的名稱和描述,然後選擇建立政策

接下來,您會建立 IAM 角色並將新的 IAM 政策連接到它。

為 AWS Transfer Family 建立 IAM 角色

  1. 在導覽窗格中,選擇 Roles (角色),然後選擇 Create role (建立角色)

    在「」建立角色頁面上,確保AWS服務被選擇。

  2. 選擇傳輸從 Service 清單中,然後選擇下次:Permissions (許可)。這建立了一個信任關係AWS Transfer Family和AWS。

  3. 連接許可政策區段中,找出並選擇您剛建立的政策,然後選擇下次:Tags (標籤)。

  4. (選用) 輸入標籤的金鑰和值,然後選擇下次:Review (檢閱)。

  5. Review (檢閱) 頁面上,輸入您新角色的名稱和描述,然後選擇 Create role (建立角色)

接下來,您建立之間的信任關係AWS Transfer Family和AWS。

建立信任關係

注意

在我們的範例中,我們同時使用兩者ArnLikeArnEquals。它們在功能上是相同的,因此您可以在構建策略時使用任何一種。Transfer Family 文件使用ArnLike當條件包含萬用字元時,以及ArnEquals以指示完全相符的條件。

  1. 在 IAM 主控台中,選擇您剛建立的角色。

  2. Summary (摘要) 頁面上,選擇 Trust relationships (信任關係),然後選擇 Edit trust relationship (編輯信任關係)

  3. 編輯信任關係編輯器,確保服務"transfer.amazonaws.com"。存取政策如下所示。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "transfer.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

    建議您使用 aws:SourceAccountaws:SourceArn 條件金鑰,保護自己免受混淆代理人問題的困擾。來源帳戶是伺服器的擁有者,且來源 ARN 是使用者的 ARN。例如:

    "Condition": { "StringEquals": { "aws:SourceAccount": "account_id" }, "ArnLike": { "aws:SourceArn": "arn:aws:transfer:region:account_id:user/*" } }

    您也可以使用ArnLike如果您希望限制到特定服務器而不是用戶帳戶中的任何服務器,則可以使用條件。例如:

    "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:transfer:region:account-id:user/server-id/*" } }
    注意

    在上面的例子中,替換每個使用者輸入佔位置與您自己的資訊。

    有關混淆的副問題和更多示例的詳細信息,請參閱預防跨服務混淆代理人

  4. 選擇更新信任政策以更新存取原則。

您現在已建立允許的 IAM 角色AWS Transfer Family呼叫AWS會代表您提供服務。您會將您建立的 IAM 政策連接到該角色,讓您的使用者存取權。在教學課程:入門 AWS Transfer Family區段中,此角色和策略會指派給您的一個或多個使用者。

您可以選擇性地建立工作階段原則,以限制使用者只能存取其主目錄,如本主題前面所述。如需有關工作階段政策的詳細資訊,請參閱 範例工作階段政策

如需有關 IAM 角色的詳細資訊,請參閱建立角色以委派許可給AWS服務IAM User Guide

若要進一步了解 Amazon S3 資源的身分型政策,請參閱Amazon S3 中的身分和存取管理Amazon Simple Storage Service 使用者指南