本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
用于 Lustre 的 Amazon FSx 使用 IAM 进行资源管理访问控制
每个 Amazon 资源都归某个 Amazon 账户所有,创建和访问资源的权限由权限策略进行管理。账户管理员可以向其附加权限策略Amazon Identity and Access Management(IAM) 身份(即:用户、组和角色)。有些服务(例如 Amazon Lambda)还支持向资源附加权限策略。
账户管理员(或管理员用户)是具有管理员权限的用户。有关更多信息,请参阅 IAM 用户指南中的 IAM 最佳实践。
在授予权限时,您要决定谁获得权限,获得对哪些资源的权限,以及您允许对这些资源执行的具体操作。
主题
Amazon FSx for Lustre 资源和运营
在对于 Amazon FSx for Lustre 中,主要资源是文件系统. FSx for Lustre 还支持备份和数据存储库任务子资源。您只能在现有文件系统的上下文内创建数据存储库任务。您只能在现有文件系统范围内创建备份,或者通过复制现有备份创建备份。这些资源和子资源具有与其关联的唯一 Amazon Resource Name (ARN),如下表所示。
资源类型 | ARN 格式 |
---|---|
文件系统 |
arn:aws:fsx: |
数据存储库任务 |
arn:aws:fsx: |
备份 |
arn:aws:fsx: |
Amazon FSx for Lustre 提供了一系列与亚马逊 FSx 合作获取 Lustre 资源的操作。有关可用操作的列表,请参阅Amazon FSx for Lustre API 参考.
了解资源所有权
Amazon账户对在该账户下创建的资源具有所有权,而无论创建资源的人员是谁。具体而言,资源所有者是对资源创建请求进行身份验证的委托人实体(即根账户、IAM 用户或 IAM 角色)的Amazon账户。以下示例说明了它的工作原理:
-
如果您使用的是根账户凭证Amazon创建文件系统的账户,Amazon账户是资源的拥有者。在 Amazon FSx for Lustre 中,资源是文件系统。
-
如果您在中创建 IAM 用户Amazon账户并授予该用户创建文件系统的权限,则该用户可以创建文件系统。但是,您的Amazon该账户(即该用户所属的账户)拥有该文件系统资源。
-
如果您在中创建 IAM 角色Amazon具有文件系统创建权限的账户,则能够担任该角色的任何人都可以创建文件系统。您的Amazon该角色所属的账户拥有该文件系统资源。