本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
IAM 客户托管式策略适用于Amazon DataSync
除托Amazon管策略外,您还可以为Amazon DataSync API 操作创建自己的基于身份的策略,并将其附加到需要这些权限的Amazon Identity and Access Management (IAM) 身份。这些策略称作客户托管策略,是您在自己的中管理型策略Amazon Web Services 账户。
重要
在开始之前,我们建议您首先了解管理 DataSync 资源访问的基本概念和选项。有关更多信息,请参阅的访问管理Amazon DataSync:
自定义策略概览
以下示例是授予使用某些 DataSync操作的权限的策略。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsSpecifiedActionsOnAllTasks", "Effect": "Allow", "Action": [ "datasync:DescribeTask", "datasync:ListTasks" ], "Resource": "arn:aws:datasync:
us-east-2
:111222333444
:task/*" }, }
该策略有一条语句(请注意语句中的Action
和Resource
元素),它执行以下操作:
-
使用亚马逊资源名称 (ARN
datasync:ListTasks
) 授予对某些任务资源执行两项 DataSync 操作(datasync:DescribeTask
和)的权限。 -
在任务 ARN 中指定通配符 (
*
),因为允许 IAM 角色对所有任务执行这两个操作。要将操作权限限制为特定任务,请在该语句中指定任务 ID 而不是通配符。
自定义策略示例
以下示例用户策略授予各种 DataSync 操作的权限。如果您使用的是Amazon SDK 或Amazon Command Line Interface (Amazon CLI),则这些策略会起作用。要在控制台中使用这些策略,您还必须使用托管策略AWSDataSyncFullAccess
。
示例 1:创建允许 DataSync 访问您的 Amazon S3 存储桶的信任关系
以下是允许 DataSync 担任IAM 角色的信任策略示例。此角色 DataSync 允许访问 Amazon S3 存储桶。为防止出现跨服务混淆的副手问题,我们建议在策略中使用aws:SourceArn
和aws:SourceAccount
全局条件上下文密钥。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "datasync.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "
123456789012
" }, "StringLike": { "aws:SourceArn": "arn:aws:datasync:us-east-2
:123456789012
:*" } } } ] }
示例 2: DataSync 允许读取和写入您的 Amazon S3 存储桶
以下示例策略授予 DataSync 对 S3 存储桶读取和写入数据的最低权限。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetBucketLocation", "s3:ListBucket", "s3:ListBucketMultipartUploads" ], "Effect": "Allow", "Resource": "
YourS3BucketArn
" }, { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:GetObject", "s3:ListMultipartUploadParts", "s3:GetObjectTagging", "s3:PutObjectTagging", "s3:PutObject" ], "Effect": "Allow", "Resource": "YourS3BucketArn
/*" } ] }
示例 3: DataSync 允许将日志上传到 CloudWatch 日志组
DataSync 需要权限才能将日志上传到您的亚马逊 CloudWatch 日志组。您可以使用 CloudWatch 日志组来监视和调试您的任务。
有关授予此类权限的 IAM 策略的示例,请参阅允许 DataSync 将日志上传到亚马逊 CloudWatch 日志组。