IAM 客户托管式策略适用于Amazon DataSync - Amazon DataSync
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

IAM 客户托管式策略适用于Amazon DataSync

除托Amazon管策略外,您还可以为Amazon DataSync API 操作创建自己的基于身份的策略,并将其附加到需要这些权限的Amazon Identity and Access Management (IAM) 身份。这些策略称作客户托管策略,是您在自己的中管理型策略Amazon Web Services 账户。

重要

在开始之前,我们建议您首先了解管理 DataSync 资源访问的基本概念和选项。有关更多信息,请参阅的访问管理Amazon DataSync

自定义策略概览

以下示例是授予使用某些 DataSync操作的权限的策略。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsSpecifiedActionsOnAllTasks", "Effect": "Allow", "Action": [ "datasync:DescribeTask", "datasync:ListTasks" ], "Resource": "arn:aws:datasync:us-east-2:111222333444:task/*" }, }

该策略有一条语句(请注意语句中的ActionResource元素),它执行以下操作:

  • 使用亚马逊资源名称 (ARNdatasync:ListTasks) 授予对某些任务资源执行两项 DataSync 操作(datasync:DescribeTask和)的权限。

  • 在任务 ARN 中指定通配符 (*),因为允许 IAM 角色对所有任务执行这两个操作。要将操作权限限制为特定任务,请在该语句中指定任务 ID 而不是通配符。

自定义策略示例

以下示例用户策略授予各种 DataSync 操作的权限。如果您使用的是Amazon SDK 或Amazon Command Line Interface (Amazon CLI),则这些策略会起作用。要在控制台中使用这些策略,您还必须使用托管策略AWSDataSyncFullAccess

示例 1:创建允许 DataSync 访问您的 Amazon S3 存储桶的信任关系

以下是允许 DataSync 担任IAM 角色的信任策略示例。此角色 DataSync 允许访问 Amazon S3 存储桶。为防止出现跨服务混淆的副手问题,我们建议在策略中使用aws:SourceArnaws:SourceAccount全局条件上下文密钥。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "datasync.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "StringLike": { "aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*" } } } ] }

示例 2: DataSync 允许读取和写入您的 Amazon S3 存储桶

以下示例策略授予 DataSync 对 S3 存储桶读取和写入数据的最低权限。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetBucketLocation", "s3:ListBucket", "s3:ListBucketMultipartUploads" ], "Effect": "Allow", "Resource": "YourS3BucketArn" }, { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:GetObject", "s3:ListMultipartUploadParts", "s3:GetObjectTagging", "s3:PutObjectTagging", "s3:PutObject" ], "Effect": "Allow", "Resource": "YourS3BucketArn/*" } ] }

示例 3: DataSync 允许将日志上传到 CloudWatch 日志组

DataSync 需要权限才能将日志上传到您的亚马逊 CloudWatch 日志组。您可以使用 CloudWatch 日志组来监视和调试您的任务。

有关授予此类权限的 IAM 策略的示例,请参阅允许 DataSync 将日志上传到亚马逊 CloudWatch 日志组