用于 Lustre 的 Amazon FSx 使用 IAM 进行资源管理访问控制 - FSx for Lustre
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

用于 Lustre 的 Amazon FSx 使用 IAM 进行资源管理访问控制

每个 Amazon 资源都归某个 Amazon 账户所有,创建和访问资源的权限由权限策略进行管理。账户管理员可以向Amazon Identity and Access Management(IAM) 身份(即:用户、组和角色)。有些服务(例如 Amazon Lambda)还支持向资源附加权限策略。

注意

账户管理员(或管理员用户)是具有管理员权限的用户。有关更多信息,请参阅 IAM 用户指南中的 IAM 最佳实践

在授予权限时,您要决定谁获得权限,获得对哪些资源的权限,以及您允许对这些资源执行的具体操作。

Amazon FSx for Lustre 资源和运营

在对于 Amazon FSx for Lustre 中,主要资源是文件系统. FSx for Lustre 还支持备份和数据存储库任务子资源。您只能在现有文件系统范围内创建数据存储库任务。您只能在现有文件系统范围内创建备份,或通过复制现有备份来创建备份。这些资源和子资源具有与其关联的唯一 Amazon Resource Name (ARN),如下表所示。

资源类型 ARN 格式

文件系统

arn:aws:fsx:region:account-id:file-system/filesystem-id

数据存储库任务

arn:aws:fsx:region:account-id:task/task-id

备份

arn:aws:fsx:region:account-id:backup/backup-id

Amazon FSx for Lustre 提供了一系列与亚马逊 FSx 合作获取 Lustre 资源的操作。有关可用操作的列表,请参阅Amazon FSx for Lustre API 参考.

了解资源所有权

Amazon账户对在该账户下创建的资源具有所有权,而无论创建资源的人员是谁。具体而言,资源所有者是对资源创建请求进行身份验证的委托人实体(即根账户、IAM 用户或 IAM 角色)的Amazon账户。以下示例说明了它的工作原理:

  • 如果您使用的根账户凭证Amazon创建文件系统的帐户,Amazon账户是资源的所有者。在 Amazon FSx for Lustre 中,资源是文件系统。

  • 如果您在中创建 IAM 用户Amazon账户并向该用户授予创建文件系统的权限,则该用户可以创建文件系统。但是,您的Amazon该用户所属的账户拥有该文件系统资源。

  • 如果您在中创建 IAM 角色Amazon具有文件系统创建权限的账户,则能够担任该角色的任何人都可以创建文件系统。您的Amazon该角色所属的账户拥有该文件系统资源。