管理访问控制 IAM 为 Amazon FSx for Lustre 资源 - 适用于Lustre的AmazonFSx
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

管理访问控制 IAM 为 Amazon FSx for Lustre 资源

每个 AWS 资源都归某个 AWS 账户所有,创建和访问资源的权限由权限策略进行管理。帐户管理员可以将权限策略附加到 AWS Identity and Access Management (IAM)标识(即用户、组和角色)。有些服务(例如 AWS Lambda)还支持向资源附加权限策略。

注意

账户管理员 (或管理员用户) 是具有管理员权限的用户。有关更多信息,请参阅 IAM 用户指南 中的 IAM 最佳实践

在授予权限时,您要决定谁获得权限,获得对哪些资源的权限,以及您允许对这些资源执行的具体操作。

资源和运营 Amazon FSx for Lustre

英寸 Amazon FSx for Lustre,主要资源是 文件系统。 Amazon FSx for Lustre 还支持其他资源类型,即数据存储库任务。然而,对于 Amazon FSx,您只能在现有文件系统的上下文中创建数据存储库任务。数据存储库任务被称为子资源。这些资源和子资源具有与其关联的唯一 Amazon 资源名称 (ARN),如下表所示。

资源类型 ARN 格式

文件系统

arn:aws:fsx:region:account-id:file-system/filesystem-id

数据存储库任务

arn:aws:fsx:region:account-id:task/task-id

备份

arn:aws:fsx:region:account-id:backup/backup-id

Amazon FSx for Lustre 提供一组操作用来处理 Amazon FSx for Lustre 资源。有关可用操作的列表,请参阅 Amazon FSx for Lustre API参考.

了解资源所有权

AWS 账户对在该账户下创建的资源具有所有权,而无论创建资源的人员是谁。具体而言,资源所有者是对资源创建请求进行身份验证的委托人实体 (即根账户、IAM 用户或 IAM 角色) 的 AWS 账户。以下示例说明了它的工作原理:

  • 如果您使用AWS帐户的根帐户凭证创建文件系统,则AWS帐户是资源的所有者。英寸 Amazon FSx for Lustre,资源是文件系统。

  • 如果您在您的 AWS 账户中创建 IAM 用户并向该用户授予创建文件系统的权限,则该用户可以创建文件系统。但是,您的 AWS 账户 (即该用户所属的账户) 拥有该文件系统资源。

  • 如果您在您的 AWS 账户中创建具有文件系统创建权限的 IAM 角色,则能够担任该角色的任何人都可以创建文件系统。角色所属的 AWS 账户拥有该文件系统资源。

管理对资源的访问

权限策略 规定谁可以访问哪些内容。下一节介绍创建权限策略时的可用选项。

注意

本节介绍如何在 Amazon FSx for Lustre 范围内使用 IAM。这里不提供有关 IAM 服务的详细信息。有关完整的IAM文档,请参阅 什么是IAM?IAM 用户指南. 有关 IAM 策略语法和说明的信息,请参阅 IAM 用户指南 中的 AWS IAM 策略参考。

附加到 IAM 身份的策略称为基于身份的策略(IAM 策略),而附加到资源的策略称为基于资源的的策略。Amazon FSx for Lustre 仅支持基于身份的策略(IAM 策略)。