Amazon 亚马逊 FSx 的托管策略 - FSx for Lustre
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon 亚马逊 FSx 的托管策略

Amazon 托管策略是由创建和管理的独立策略 Amazon。 Amazon 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住, Amazon 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。

您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新 Amazon 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 Amazon 最有可能在启动新的 API 或现有服务可以使用新 Amazon Web Service 的 API 操作时更新 Amazon 托管策略。

有关更多信息,请参阅 IAM 用户指南 中的 Amazon 托管式策略

AmazonF SxServiceRolePolicy

允许 Amazon FSx 代表您管理 Amazon 资源。请参阅使用 Amazon FSx 的服务相关角色,了解更多信息。

Amazon 托管策略:亚马逊 SxDeleteServiceLinkedRoleAccess

您不能将 AmazonFSxDeleteServiceLinkedRoleAccess 附加到自己的 IAM 实体。该策略关联到服务,仅用于该服务的服务相关角色。您不能附加、分离、修改或删除此策略。有关更多信息,请参阅使用 Amazon FSx 的服务相关角色

该策略授予管理权限,允许 Amazon FSx 删除用于访问 Amazon S3 的服务相关角色,仅供 Amazon FSx for Lustre 使用。

权限详细信息

此策略包括允许 Amazon FSx 查看、删除和查看 Amazon S3 访问权限的 FSx 服务关联角色的删除状态的权限。iam

要查看此策略的权限,请参阅《 Amazon 托管策略参考指南》SxDeleteServiceLinkedRoleAccess中的 AmazonF

Amazon 托管策略:亚马逊 SxFullAccess

您可以将 AmazonF 附加SxFullAccess 到您的 IAM 实体。Amazon FSx 还会将此策略附加到允许 Amazon FSx 代表您执行操作的服务角色。

提供对 Amazon FSx 的完全访问权限和对相关 Amazon 服务的访问权限。

权限详细信息

该策略包含以下权限。

  • fsx – 允许主体完全访问,可执行所有 Amazon FSx 操作,但 BypassSnaplockEnterpriseRetention 除外。

  • ds— 允许委托人查看有关 Amazon Directory Service 目录的信息。

  • ec2

    • 允许委托人在指定条件下创建标签。

    • 为可用于 VPC 的所有安全组提供增强的安全组验证。

  • iam – 允许主体代表用户创建 Amazon FSx 服务相关角色。这是必需的,这样 Amazon FSx 才能代表用户管理 Amazon 资源。

  • logs – 允许主体创建日志组、日志流并将事件写入日志流。这是必需的,这样用户才能通过向日志发送审核访问日志 CloudWatch 来监控 FSx 的 Windows File Server 文件系统访问权限。

  • firehose— 允许委托人向 Amazon Data Firehose 写入记录。这是必需的,这样用户才能通过向 Firehose 发送审核访问日志来监控 FSx 的 Windows 文件服务器文件系统访问权限。

要查看此策略的权限,请参阅《 Amazon 托管策略参考指南》SxFullAccess中的 AmazonF

Amazon 托管策略:亚马逊 SxConsoleFullAccess

您可以将 AmazonFSxConsoleFullAccess 策略附加到 IAM 身份。

此策略授予管理权限,允许对 Amazon FSx 进行完全访问和通过访问相关 Amazon 服务。 Amazon Web Services Management Console

权限详细信息

该策略包含以下权限。

  • fsx – 允许主体在 Amazon FSx 管理控制台中执行所有操作,但 BypassSnaplockEnterpriseRetention 除外。

  • cloudwatch— 允许委托人在 Amazon FSx 管理控制台中查看 CloudWatch 警报和指标。

  • ds— 允许委托人列出有关 Amazon Directory Service 目录的信息。

  • ec2

    • 允许委托人在路由表上创建标签,列出网络接口、路由表、安全组、子网和与 Amazon FSx 文件系统关联的 VPC。

    • 允许委托人对可用于 VPC 的所有安全组提供增强的安全组验证。

  • kms— 允许委托人列出密钥的别名。 Amazon Key Management Service

  • s3 – 允许主体列出 Amazon S3 桶中的部分或全部对象(最多 1000 个)。

  • iam – 授予创建服务相关角色的权限,允许 Amazon FSx 代表用户执行操作。

要查看此策略的权限,请参阅《 Amazon 托管策略参考指南》SxConsoleFullAccess中的 AmazonF

Amazon 托管策略:亚马逊 SxConsoleReadOnlyAccess

您可以将 AmazonFSxConsoleReadOnlyAccess 策略附加到 IAM 身份。

此政策向 Amazon FSx 和相关 Amazon 服务授予只读权限,以便用户可以在中查看有关这些服务的信息。 Amazon Web Services Management Console

权限详细信息

该策略包含以下权限。

  • fsx – 允许主体在 Amazon FSx 管理控制台中查看有关 Amazon FSx 文件系统的信息,包括所有标签。

  • cloudwatch— 允许委托人在 Amazon FSx 管理控制台中查看 CloudWatch 警报和指标。

  • ds— 允许委托人在 Amazon FSx Amazon Directory Service 管理控制台中查看有关目录的信息。

  • ec2

    • 允许委托人在 Amazon FSx 管理控制台中查看网络接口、安全组、子网以及与 Amazon FSx 文件系统关联的 VPC。

    • 为可用于 VPC 的所有安全组提供增强的安全组验证。

  • kms— 允许委托人在 Amazon FSx 管理控制 Amazon Key Management Service 台中查看密钥的别名。

  • log— 允许委托人描述与提出请求的账户关联的 Amazon Logs CloudWatch 日志组。必须具有此权限,主体才能查看 FSx for Windows File Server 文件系统的现有文件访问审计配置。

  • firehose— 允许委托人描述与提出请求的账户关联的 Amazon Data Firehose 传输流。必须具有此权限,主体才能查看 FSx for Windows File Server 文件系统的现有文件访问审计配置。

要查看此策略的权限,请参阅《 Amazon 托管策略参考指南》SxConsoleReadOnlyAccess中的 AmazonF

Amazon 托管策略:亚马逊 SxReadOnlyAccess

您可以将 AmazonFSxReadOnlyAccess 策略附加到 IAM 身份。

该策略包含以下权限。

  • fsx – 允许主体在 Amazon FSx 管理控制台中查看有关 Amazon FSx 文件系统的信息,包括所有标签。

  • ec2— 为可用于 VPC 的所有安全组提供增强的安全组验证。

要查看此策略的权限,请参阅《 Amazon 托管策略参考指南》SxReadOnlyAccess中的 AmazonF

亚马逊 FSx 更新了托管政策 Amazon

查看自该服务开始跟踪这些更改以来对 Amazon FSx Amazon 托管政策的更新的详细信息。要获得有关此页面更改的自动提示,请订阅 Amazon FSx 文档历史记录页面上的 RSS 源。

更改 描述 日期

亚马逊 SxServiceRolePolicy — 更新现有政策

Amazon FSx 增加了新权限ec2:GetSecurityGroupsForVpc,允许委托人对可用于 VPC 的所有安全组提供增强的安全组验证。

2024年1月9日

亚马逊 SxReadOnlyAccess — 更新现有政策

Amazon FSx 增加了新权限ec2:GetSecurityGroupsForVpc,允许委托人对可用于 VPC 的所有安全组提供增强的安全组验证。

2024年1月9日

亚马逊 SxConsoleReadOnlyAccess — 更新现有政策

Amazon FSx 增加了新权限ec2:GetSecurityGroupsForVpc,允许委托人对可用于 VPC 的所有安全组提供增强的安全组验证。

2024年1月9日

亚马逊 SxFullAccess — 更新现有政策

Amazon FSx 增加了新权限ec2:GetSecurityGroupsForVpc,允许委托人对可用于 VPC 的所有安全组提供增强的安全组验证。

2024年1月9日

亚马逊 SxConsoleFullAccess — 更新现有政策

Amazon FSx 增加了新权限ec2:GetSecurityGroupsForVpc,允许委托人对可用于 VPC 的所有安全组提供增强的安全组验证。

2024年1月9日

亚马逊 SxFullAccess — 更新现有政策

Amazon FSX 增加了新权限,允许用户为 OpenZFS 文件系统的 FSX 执行跨区域和跨账户数据复制。

2023 年 12 月 20 日

亚马逊 SxConsoleFullAccess — 更新现有政策

Amazon FSX 增加了新权限,允许用户为 OpenZFS 文件系统的 FSX 执行跨区域和跨账户数据复制。

2023 年 12 月 20 日

亚马逊 SxFullAccess — 更新现有政策

Amazon FSX 添加了一项新权限,允许用户按需复制适用于 OpenZFS 文件系统的 FSX 卷。

2023 年 11 月 26 日

亚马逊 SxConsoleFullAccess — 更新现有政策

Amazon FSX 添加了一项新权限,允许用户按需复制适用于 OpenZFS 文件系统的 FSX 卷。

2023 年 11 月 26 日

亚马逊 SxFullAccess — 更新现有政策

Amazon FSx 添加了新的权限,使用户能够查看、启用和禁用对适用于 ONTAP 多可用区文件系统的 FSx 的共享 VPC 支持。

2023 年 11 月 14 日

亚马逊 SxConsoleFullAccess — 更新现有政策

Amazon FSx 添加了新的权限,使用户能够查看、启用和禁用对适用于 ONTAP 多可用区文件系统的 FSx 的共享 VPC 支持。

2023 年 11 月 14 日

亚马逊 SxFullAccess — 更新现有政策

Amazon FSx 增加了新的权限,允许 Amazon FSx 管理 FSx for OpenZFS 多可用区文件系统的网络配置。

2023 年 8 月 9 日

Amazon 托管策略:AmazonF SxServiceRolePolicy — 更新现有政策

Amazon FSx 修改了现有cloudwatch:PutMetricData权限,以便亚马逊 FSx 将 CloudWatch 指标发布到命名空间。Amazon/FSx

2023 年 7 月 24 日

亚马逊 SxFullAccess — 更新现有政策

Amazon FSx 更新了该策略,删除了 fsx:* 权限并添加了具体的 fsx 操作。

2023 年 7 月 13 日

亚马逊 SxConsoleFullAccess — 更新现有政策

Amazon FSx 更新了该策略,删除了 fsx:* 权限并添加了具体的 fsx 操作。

2023 年 7 月 13 日

亚马逊 SxConsoleReadOnlyAccess — 更新现有政策

Amazon FSx 增加了新的权限,用户能够在 Amazon FSx 控制台中查看 FSx for Windows File Server 文件系统的增强性能指标和建议的操作。

2022 年 9 月 21 日

亚马逊 SxConsoleFullAccess — 更新现有政策

Amazon FSx 增加了新的权限,用户能够在 Amazon FSx 控制台中查看 FSx for Windows File Server 文件系统的增强性能指标和建议的操作。

2022 年 9 月 21 日

亚马逊 SxReadOnlyAccess — 已开始执行追踪政策

此策略授予对所有 Amazon FSx 资源及其相关标签的只读访问权限。

2022 年 2 月 4 日

亚马逊 SxDeleteServiceLinkedRoleAccess — 已开始执行追踪政策

此策略授予管理权限,允许 Amazon FSx 删除用于访问 Amazon S3 的服务相关角色。

2022 年 1 月 7 日

亚马逊 SxServiceRolePolicy — 更新现有政策

亚马逊 FSx 添加了新的权限,允许亚马逊 FSx 管理适用于 ONTAP 文件系统的亚马逊 FSx 的网络配置。 NetApp

2021 年 9 月 2 日

亚马逊 SxFullAccess — 更新现有政策

Amazon FSx 增加了新的权限,允许 Amazon FSx 在 EC2 路由表上创建标签,从而缩小了调用范围。

2021 年 9 月 2 日

亚马逊 SxConsoleFullAccess — 更新现有政策

亚马逊 FSx 添加了新的权限,允许亚马逊 FSx 为 ONTAP 多可用区文件系统创建亚马逊 FSX。 NetApp

2021 年 9 月 2 日

亚马逊 SxConsoleFullAccess — 更新现有政策

Amazon FSx 增加了新的权限,允许 Amazon FSx 在 EC2 路由表上创建标签,从而缩小了调用范围。

2021 年 9 月 2 日

亚马逊 SxServiceRolePolicy — 更新现有政策

Amazon FSx 添加了新的权限,允许 Amazon FSx 描述和写入日志流。 CloudWatch

这是必需的,这样用户才能使用日志查看 FSx for Windows File Server 文件系统的 CloudWatch 文件访问审核日志。

2021 年 6 月 8 日

亚马逊 SxServiceRolePolicy — 更新现有政策

亚马逊 FSx 增加了新的权限,允许亚马逊 FSx 描述和写入亚马逊数据 Firehose 传输流。

这是必需的,这样用户才能使用 Amazon Data Firehose 查看 FSx for Windows 文件服务器文件系统的文件访问审核日志。

2021 年 6 月 8 日

亚马逊 SxFullAccess — 更新现有政策

Amazon FSx 添加了新的权限,允许委托人描述和创建 CloudWatch 日志组、日志流以及将事件写入日志流。

这是必需的,这样委托人才能使用日志查看 FSx for Windows File Server 文件系统的 CloudWatch 文件访问审核日志。

2021 年 6 月 8 日

亚马逊 SxFullAccess — 更新现有政策

亚马逊 FSx 增加了新的权限,允许委托人向亚马逊数据 Firehose 描述和写入记录。

这是必需的,这样用户才能使用 Amazon Data Firehose 查看 FSx for Windows 文件服务器文件系统的文件访问审核日志。

2021 年 6 月 8 日

亚马逊 SxConsoleFullAccess — 更新现有政策

Amazon FSx 增加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Logs CloudWatch 日志组。

这是必需的,这样委托人才能在为 FSx for Windows File Server 文件系统配置文件访问审计时选择现有的 CloudWatch 日志日志组。

2021 年 6 月 8 日

亚马逊 SxConsoleFullAccess — 更新现有政策

亚马逊 FSx 增加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Data Firehose 传送流。

这是必需的,这样委托人才能在为 FSx for Windows File Server 文件系统配置文件访问审计时选择现有的 Firehose 传送流。

2021 年 6 月 8 日

亚马逊 SxConsoleReadOnlyAccess — 更新现有政策

Amazon FSx 增加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Logs CloudWatch 日志组。

必须具有此权限,主体才能查看 FSx for Windows File Server 文件系统的现有文件访问审计配置。

2021 年 6 月 8 日

亚马逊 SxConsoleReadOnlyAccess — 更新现有政策

亚马逊 FSx 增加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Data Firehose 传送流。

必须具有此权限,主体才能查看 FSx for Windows File Server 文件系统的现有文件访问审计配置。

2021 年 6 月 8 日

Amazon FSx 开启了跟踪更改

Amazon FSx 开始跟踪其 Amazon 托管策略的变更。

2021 年 6 月 8 日