使用适用于 Lustre 的亚马逊 FSX 的 IAM 进行资源管理访问控制 - Amazon FSx for Lustre
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用适用于 Lustre 的亚马逊 FSX 的 IAM 进行资源管理访问控制

每个 Amazon 资源都归某个 Amazon 账户所有,创建和访问资源的权限由权限策略进行管理。账户管理员可以向Amazon Identity and Access Management(IAM) 身份 (即:用户、组和角色)。有些服务(例如 Amazon Lambda)还支持向资源附加权限策略。

注意

账户管理员(或管理员用户)是具有管理员权限的用户。有关更多信息,请参阅 。IAM 最佳实践中的IAM 用户指南.

在授予权限时,您要决定谁获得权限,获得对哪些资源的权限,以及您允许对这些资源执行的具体操作。

适用于 Lustre 资源和操作的 Amazon FSx

Amazon FSx in Lustre 中,主要资源是文件系统. Amazon FSx for Lustre 还支持备份和数据存储库任务子资源。您只能在现有文件系统的上下文内创建数据存储库任务。您只能在现有文件系统的上下文中创建备份,或者通过复制现有备份。这些资源和子资源具有与其关联的唯一 Amazon 资源名称 (ARN),如下表所示。

资源类型 ARN 格式

文件系统

arn:aws:fsx:region:account-id:file-system/filesystem-id

数据存储库任务

arn:aws:fsx:region:account-id:task/task-id

备份

arn:aws:fsx:region:account-id:backup/backup-id

Amazon FSx for Lustre 提供一组操作用来处理 Amazon FSx for Lustre 资源。有关可用操作的列表,请参阅适用于 Lustre API 参考的 Amazon FSx.

了解资源所有权

Amazon 账户对在该账户下创建的资源具有所有权,而无论创建资源的人员是谁。具体而言,资源所有者是对资源创建请求进行身份验证的Amazon委托人实体 (即根账户、IAM 用户或 IAM 角色) 的 账户。以下示例说明了它的工作原理:

  • 如果您使用的根账户凭证Amazon帐户创建文件系统,则可以使用Amazon帐户是资源的所有者。在 Amazon FSx for Lustre 中,资源是文件系统。

  • 如果您在Amazon帐户并向该用户授予创建文件系统的权限,则该用户可以创建文件系统。但是,您的Amazon帐户拥有该文件系统资源。

  • 如果您在Amazon帐户,则能够担任该角色的任何人都可以创建文件系统。您的Amazon帐户拥有该角色所属的文件系统资源。