示例策略 - Amazon Batch
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

示例策略

以下示例显示了您可用于控制 IAM 用户对拥有的权限的策略语句。Amazon Batch。

示例:只读访问权限

以下策略向用户授予使用名称以 DescribeList 开头的所有 Amazon Batch API 操作的权限。

用户无权对资源执行任何操作 (除非其他语句为用户授予执行此操作的权限),因为在默认情况下会对用户拒绝使用 API 操作的权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "batch:Describe*", "batch:List*" ], "Resource": "*" } ] }

示例:限制作业提交时的 POSIX 用户、Docker 映像、权限级别和角色

以下策略允许用户管理自己的一组受限作业定义。

第一个语句和第二个语句允许用户注册和取消注册其名称前缀为 JobDefA_ 的任何作业定义。

第一个语句还使用条件上下文键来限制作业定义的 containerProperties 中的 POSIX 用户、特权状态和容器映像值。有关更多信息,请参阅 。RegisterJobDefinition中的Amazon BatchAPI 参考。在此示例中,仅在以下情况下能够在 POSIX 用户设置为nobody,特权标记设置为false,并且图像设置为myImage在 Amazon ECR 存储库中。

重要

Docker 将 user 参数解析为该用户在容器映像中的 uid。在大多数情况下,可以在/etc/passwd文件。可以通过使用直接uid任务定义和任何关联的 IAM 策略中的值。两种方法Amazon BatchAPI 操作和batch:UserIAM 条件键支持数字值。

第三个语句限制用户仅将特定角色传递给作业定义。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "batch:RegisterJobDefinition" ], "Resource": [ "arn:aws:batch:<aws_region>:<aws_account_id>:job-definition/JobDefA_*" ], "Condition": { "StringEquals": { "batch:User": [ "nobody" ], "batch:Image": [ "<aws_account_id>.dkr.ecr.<aws_region>.amazonaws.com/myImage" ] }, "Bool": { "batch:Privileged": "false" } } }, { "Effect": "Allow", "Action": [ "batch:DeregisterJobDefinition" ], "Resource": [ "arn:aws:batch:<aws_region>:<aws_account_id>:job-definition/JobDefA_*" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::<aws_account_id>:role/MyBatchJobRole" ] } ] }

示例:限制作业提交时的作业定义前缀

以下策略允许用户将作业提交到任何作业队列,其任何作业定义名称以 JobDefA_ 开头。

重要

在限定作业提交的资源级访问时,必须同时提供作业队列和作业定义资源类型。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "batch:SubmitJob" ], "Resource": [ "arn:aws:batch:<aws_region>:<aws_account_id>:job-definition/JobDefA_*", "arn:aws:batch:<aws_region>:<aws_account_id>:job-queue/*" ] } ] }

示例:限制作业队列

以下策略允许用户将作业提交到名为 queue1 的特定作业队列,该队列具有任何作业定义名称。

重要

在限定作业提交的资源级访问时,必须同时提供作业队列和作业定义资源类型。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "batch:SubmitJob" ], "Resource": [ "arn:aws:batch:<aws_region>:<aws_account_id>:job-definition/*", "arn:aws:batch:<aws_region>:<aws_account_id>:job-queue/queue1" ] } ] }