管理对 Amazon FSx 资源的访问 - FSx for Lustre
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理对 Amazon FSx 资源的访问

权限策略规定谁可以访问哪些内容。下一节介绍创建权限策略时的可用选项。

注意

本节讨论如何在 Amazon FSx for Lustre 范围内使用 IAM。这里不提供有关 IAM 服务的详细信息。有关完整的 IAM 文档,请参阅 IAM 用户指南中的什么是 IAM?。有关 IAM 策略语法和说明的信息,请参阅 IAM 用户指南Amazon IAM 策略参考

附加到 IAM 身份的策略称作基于身份 的策略(IAM 策略),附加到资源的策略称作基于资源 的策略。Amazon FSx for Lustre 只支持基于身份的策略(IAM 策略)。

Amazon FSx for Lustre API 权限:操作、资源和条件参考

在设置访问控制和编写可附加到 IAM 身份的权限策略(基于身份的策略)时,可使用以下内容:桌子作为参考。这些区域有:表格包括每个 Amazon FSx for Lustre API 操作、您可为其授予执行该操作的权限的相应操作,以及Amazon您可以授予权限的资源。您可以在策略的 Action 字段中指定这些操作,并在策略的 Resource 字段中指定资源值。

您可以使用AmazonAmazon FSx 中的范围的条件键用于表达条件。有关 Amazon 范围内的键的完整列表,请参阅《IAM 用户指南》https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys中的可用键

要指定操作,请在 API 操作名称之前使用 fsx: 前缀 (例如,fsx:CreateFileSystem)。每项操作都适用于 Lustre 文件系统的单个 Amazon FSx,适用于所有的 Lustre 文件系统所有的 Amazon FSxAmazon账户、单个备份或者属于Amazon Web Services 账户.

本部分仅包括这些操作所需的 Amazon FSx 权限。其他权限Amazon其中一些操作需要提供服务。

Amazon FSx for Lustre API 和必需的操作权限
适用于 Lustre API 操作的 Amazon FSx for Lustre API 所需权限(API 操作) 资源

取消数据存储库任务

fsx:CancelDataRepositoryTask

arn:aws:fsx:region:account-id:file-system/file-system-id

COPYBackup

fsx:CopyBackup

fsx:CopyBackup

fsx:TagResource

arn:aws:fsx:region:account-id:backup/source-backup-id— 源备份

arn:aws:fsx:region:account-id:backup/*— 目标区域

arn:aws:fsx:region:account-id:backup/*— 在备份副本上复制或创建标签所需

CreateBackup

FSX:创建备份

FSX:创建备份

fsx:TagResource

arn:aws:fsx:region:account-id:backup/*

arn:aws:fsx:region:account-id:file-system/file-system-id

arn:aws:fsx:region:account-id:backup/*— 在新备份上创建标签所需

创建数据存储库任务

fsx:CreateDataRepositoryTask

fsx:CreateDataRepositoryTask

fsx:TagResource

arn:aws:fsx:region:account-id:file-system/file-system-id

arn:aws:fsx:region:account-id:task/*

arn:aws:fsx:region:account-id:task/*— 在任务上创建标签所必需

CreateFileSystem

fsx:CreateFileSystem

fsx:TagResource

arn:aws:fsx:region:account-id:file-system/*

arn:aws:fsx:region:account-id:file-system/*— 在文件系统上创建标签

从备份创建文件系统

fsx:CreateFileSystemFromBackup

fsx:CreateFileSystemFromBackup

fsx:TagResource

arn:aws:fsx:region:account-id:file-system/*

arn:aws:fsx:region:account-id:backup/*

arn:aws:fsx:region:account-id:file-system/*— 在文件系统上创建标签

DeleteBackup

fsx:DeleteBackup

arn:aws:fsx:region:account-id:backup/backup-id

DeleteFileSystem

fsx:DeleteFileSystem

fsx:TagResource

fsx:CreateBackup

arn:aws:fsx:region:account-id:file-system/filesystem-id

arn:aws:fsx:region:account-id:backup/*— 如果已创建,则需要在最终备份上创建标签

arn:aws:fsx:region:account-id:backup/*— 对于 Lustre 文件系统,需要创建最终备份。

DescribeBackups

fsx:DescribeBackups

arn:aws:fsx:region:account-id:backup/*

描述数据存储库任务

fsx:DescribeDataRepositoryTasks

arn:aws:fsx:region:account-id:task/*

DescribeFileSystems

fsx:DescribeFileSystems

arn:aws:fsx:region:account-id:file-system/*

ListTagsForResource

fsx:ListTagsForResource

arn:aws:fsx:region:account-id:backup/backup-id

arn:aws:fsx:region:account-id:file-system/filesystem-id

arn:aws:fsx:region:account-id:task/task-id

TagResource

fsx:TagResource

arn:aws:fsx:region:account-id:backup/backup-id

arn:aws:fsx:region:account-id:file-system/filesystem-id

arn:aws:fsx:region:account-id:task/task-id

UntagResource

fsx:UntagResource

arn:aws:fsx:region:account-id:backup/backup-id

arn:aws:fsx:region:account-id:file-system/filesystem-id

arn:aws:fsx:region:account-id:task/task-id

更新文件系统

fsx:UpdateFileSystem

arn:aws:fsx:region:account-id:file-system/filesystem-id