Amazon FSx 的操作、资源和条件键 - 服务授权参考
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon FSx 的操作、资源和条件键

Amazon FSx(服务前缀:fsx)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

Amazon FSx 定义的操作

您可以在 IAM 策略语句的 Action 元素中指定以下操作。可以使用策略授予在 Amazon 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。

操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。

注意

资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。

有关下表中各列的详细信息,请参阅操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
AssociateFileGateway [仅权限] 授予将文件网关实例与 Amazon FSx for Windows File Server 文件系统关联的权限 Write

file-system*

AssociateFileSystemAliases 授予将 DNS 别名与 Amazon FSx for Windows File Server 文件系统关联的权限 写入

file-system*

BypassSnaplockEnterpriseRetention [仅权限] 授予允许删除包含具有有效保留期的 WORM(一次写入,多次读取)文件的 FSx for ONTAP En SnapLock terprise 卷的权限 权限管理

volume*

CancelDataRepositoryTask 授予取消数据存储库任务的权限 Write

task*

CopyBackup 授予复制备份的权限 写入

backup*

fsx:TagResource

aws:RequestTag/${TagKey}

aws:TagKeys

CopySnapshotAndUpdateVolume 授予使用另一个适用于 OpenZFS 的 Amazon FSx 文件系统快照来更新现有卷的权限 写入

snapshot*

volume*

CreateBackup 授予创建 Amazon FSx 文件系统或 Amazon FSx 卷的新备份的权限 写入

backup*

fsx:TagResource

file-system

volume

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDataRepositoryAssociation 授予权限以为 Amazon FSx for Lustre 文件系统创建新的数据存储库关联 写入

association*

fsx:TagResource

file-system*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDataRepositoryTask 授予权限以为 Amazon FSx for Lustre 文件系统创建新的数据存储库任务 写入

file-system*

fsx:TagResource

task*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFileCache 授予创建新的空 Amazon 文件缓存的权限 写入

file-cache*

ec2:DescribeSecurityGroups

ec2:DescribeSubnets

ec2:DescribeVpcs

ec2:GetSecurityGroupsForVpc

fsx:CreateDataRepositoryAssociation

fsx:TagResource

logs:CreateLogGroup

logs:CreateLogStream

logs:PutLogEvents

s3:ListBucket

association

fsx:NfsDataRepositoryEncryptionInTransitEnabled

fsx:NfsDataRepositoryAuthenticationEnabled

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFileSystem 授予权限以创建新的空 Amazon FSx 文件系统 写入

file-system*

ec2:GetSecurityGroupsForVpc

fsx:TagResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFileSystemFromBackup 授予权限以从现有备份中创建新的 Amazon FSx 文件系统 写入

backup*

ec2:GetSecurityGroupsForVpc

fsx:TagResource

file-system*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateSnapshot 授予权限以在卷上创建新快照 写入

snapshot*

fsx:TagResource

volume*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateStorageVirtualMachine 授予权限以在 Amazon FSx 适用于 Ontap 文件系统中创建新的存储虚拟机 写入

file-system*

fsx:TagResource

storage-virtual-machine*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateVolume 授予权限以新建卷 写入

volume*

fsx:TagResource

snapshot

aws:RequestTag/${TagKey}

aws:TagKeys

fsx:StorageVirtualMachineId

fsx:ParentVolumeId

CreateVolumeFromBackup 授予权限以创建新的备份卷 写入

backup*

fsx:TagResource

storage-virtual-machine*

volume*

aws:RequestTag/${TagKey}

aws:TagKeys

fsx:StorageVirtualMachineId

DeleteBackup 授予权限以删除备份,从而删除其内容。在删除后,备份不再存在并且其数据不再可用 写入

backup*

DeleteDataRepositoryAssociation 授予权限以删除数据存储库关联 写入

association*

DeleteFileCache 授予删除文件缓存、删除其内容的权限 写入

file-cache*

fsx:DeleteDataRepositoryAssociation

association

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteFileSystem 授予删除文件系统,从而删除其内容以及文件系统的任何现有自动备份的权限 写入

file-system*

fsx:CreateBackup

fsx:TagResource

backup

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteResourcePolicy [仅权限] 需要Amazon通过 Resource Access Manager (RAM) 管理 FSx 卷的跨账户共享。 PutResourcePolicy 而且 GetResourcePolicy 也是必需的 权限管理

volume*

DeleteSnapshot 授予权限以删除卷上的快照 写入

snapshot*

DeleteStorageVirtualMachine 授予删除存储虚拟机以删除其内容的权限 写入

storage-virtual-machine*

DeleteVolume 授予删除卷以及删除其内容和卷的任何现有自动备份的权限 写入

volume*

fsx:TagResource

backup

aws:RequestTag/${TagKey}

aws:TagKeys

fsx:StorageVirtualMachineId

fsx:ParentVolumeId

DescribeAssociatedFileGateways [仅权限] 授予描述与 Amazon FSx for Windows File Server 文件系统关联的文件网关实例的权限 Read

file-system*

DescribeBackups 授予权限以返回您的 Amazon Web Services 账户 在调用的终端节点的 Amazon Web Services 区域 中拥有的所有备份的描述 读取
DescribeDataRepositoryAssociations 授予权限以返回您的Amazon Web Services 账户在调用的终端节点的Amazon Web Services 区域中拥有的所有数据存储库任务的描述 读取
DescribeDataRepositoryTasks 授予权限以返回您的Amazon Web Services 账户在调用的终端节点的Amazon Web Services 区域中拥有的所有数据存储库任务的描述 读取
DescribeFileCaches 授予返回您的 Amazon Web Services 账户 在调用的端点的 Amazon Web Services 区域 中拥有的所有文件缓存之描述的权限 读取
DescribeFileSystemAliases 授予权限以返回 Amazon FSx for Windows File Server 文件系统拥有的所有 DNS 别名的描述 Read

file-system*

DescribeFileSystems 授予权限以返回您的 Amazon Web Services 账户 在调用的终端节点的 Amazon Web Services 区域 中拥有的所有文件系统的描述 读取
DescribeSharedVpcConfiguration 授予返回您账户中是否允许从参与者账户更新 FSx 路由表的描述的权限 读取
DescribeSnapshots 授予权限以返回您的Amazon Web Services 区域在调用的终端节点的Amazon Web Services 账户中拥有的所有快照的描述 读取
DescribeStorageVirtualMachines 授予返回您正在调用的端点的 Amazon Web Services 区域 中 Amazon Web Services 账户 所拥有的所有存储虚拟机的描述的权限 读取
DescribeVolumes 授予权限以返回您的 Amazon Web Services 区域 在调用的终端节点的 Amazon Web Services 账户 中拥有的所有卷的描述 读取
DisassociateFileGateway [仅权限] 授予取消文件网关实例与 Amazon FSx for Windows File Server 文件系统关联的权限 Write

file-system*

DisassociateFileSystemAliases 授予权限以将文件系统别名与 Amazon FSx for Windows File Server 文件系统取消关联 写入

file-system*

GetResourcePolicy [仅权限] 需要Amazon通过 Resource Access Manager (RAM) 管理 FSx 卷的跨账户共享。 PutResourcePolicy 而且 DeleteResourcePolicy 也是必需的 权限管理

volume*

ListTagsForResource 授予权限以列出 Amazon FSx 资源的标签 读取

association

backup

file-cache

file-system

snapshot

storage-virtual-machine

task

volume

ManageBackupPrincipalAssociations [仅权限] 授予通过 Amazon Backup 管理备份委托人关联的权限 权限管理

backup*

PutResourcePolicy [仅权限] 需要Amazon通过 Resource Access Manager (RAM) 管理 FSx 卷的跨账户共享。 DeleteResourcePolicy 而且 GetResourcePolicy 也是必需的 权限管理

volume*

ReleaseFileSystemNfsV3Locks 授予解除文件系统 NFS V3 锁的权限 写入

file-system*

RestoreVolumeFromSnapshot 授予从快照恢复卷状态的权限 写入

snapshot*

volume*

StartMisconfiguredStateRecovery 授予权限以启动配置错误的状态恢复 写入

file-system*

TagResource 授予权限以标记 Amazon FSx 资源 Tagging

association

backup

file-cache

file-system

snapshot

storage-virtual-machine

task

volume

aws:TagKeys

aws:RequestTag/${TagKey}

UntagResource 授予权限以从 Amazon FSx 资源中删除标签 标记

association

backup

file-cache

file-system

snapshot

storage-virtual-machine

task

volume

aws:TagKeys

UpdateDataRepositoryAssociation 授予权限以更新数据存储库关联配置 写入

association*

UpdateFileCache 授予更新文件缓存配置的权限 写入

file-cache*

UpdateFileSystem 授予权限以更新文件系统的配置 写入

file-system*

UpdateSharedVpcConfiguration 授予为您账户中的参与者账户启用或禁用 FSx 路由表更新的权限 写入
UpdateSnapshot 授予权限以更新快照配置 写入

snapshot*

UpdateStorageVirtualMachine 授予权限以更新存储虚拟机配置 写入

storage-virtual-machine*

UpdateVolume 授予权限以更新卷配置 写入

volume*

fsx:StorageVirtualMachineId

fsx:ParentVolumeId

Amazon FSx 定义的资源类型

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表

注意

Amazon FSx for Windows File Server、Lustre 和 Ontap 共享一些相同的资源类型,每种资源类型都具有相同的 ARN 格式。

资源类型 ARN 条件键
file-system arn:${Partition}:fsx:${Region}:${Account}:file-system/${FileSystemId}

aws:ResourceTag/${TagKey}

file-cache arn:${Partition}:fsx:${Region}:${Account}:file-cache/${FileCacheId}

aws:ResourceTag/${TagKey}

backup arn:${Partition}:fsx:${Region}:${Account}:backup/${BackupId}

aws:ResourceTag/${TagKey}

storage-virtual-machine arn:${Partition}:fsx:${Region}:${Account}:storage-virtual-machine/${FileSystemId}/${StorageVirtualMachineId}

aws:ResourceTag/${TagKey}

task arn:${Partition}:fsx:${Region}:${Account}:task/${TaskId}

aws:ResourceTag/${TagKey}

association arn:${Partition}:fsx:${Region}:${Account}:association/${FileSystemIdOrFileCacheId}/${DataRepositoryAssociationId}

aws:ResourceTag/${TagKey}

volume arn:${Partition}:fsx:${Region}:${Account}:volume/${FileSystemId}/${VolumeId}

aws:ResourceTag/${TagKey}

snapshot arn:${Partition}:fsx:${Region}:${Account}:snapshot/${VolumeId}/${SnapshotId}

aws:ResourceTag/${TagKey}

Amazon FSx 的条件键

Amazon FSx 定义以下可以在 IAM policy 的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 按请求中传递的标签筛选访问权限 字符串
aws:ResourceTag/${TagKey} 按与资源关联的标签筛选访问权限 字符串
aws:TagKeys 按请求中传递的标签键筛选访问权限 ArrayOfString
fsx:IsBackupCopyDestination 根据备份是否为 CopyBackup 操作的目标备份来筛选访问权限 布尔型
fsx:IsBackupCopySource 根据备份是否为 CopyBackup 操作的源备份来筛选访问权限 布尔型
fsx:NfsDataRepositoryAuthenticationEnabled 按支持身份验证的 NFS 数据存储库筛选访问 布尔型
fsx:NfsDataRepositoryEncryptionInTransitEnabled 按支持的 NFS 数据存储库筛选访问权限 encryption-in-transit 布尔型
fsx:ParentVolumeId 按包含父级卷筛选访问权限,以便改变卷操作 字符串
fsx:StorageVirtualMachineId 筛选包含存储虚拟机对卷的访问权限,以便改变卷操作 字符串