AmazonAmazon FSx 的托管策略 - FSx for Lustre
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AmazonAmazon FSx 的托管策略

要向用户、组和角色添加权限,与自己编写策略相比,使用 Amazon 托管策略更简单。创建仅为团队提供所需权限的 IAM 客户托管策略需要时间和专业知识。要快速入门,您可以使用我们的 Amazon 托管式策略。这些策略涵盖常见使用案例,可在您的 Amazon Web Services 账户 中使用。有关 Amazon 托管式策略的更多信息,请参阅 IAM 用户指南中的Amazon 托管式策略

Amazon Web Services 负责维护和更新 Amazon 托管式策略。您无法更改 Amazon 托管式策略中的权限。服务偶尔会向 Amazon 托管式策略添加额外权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新功能或新操作可用时,服务最有可能会更新 Amazon 托管式策略。服务不会从 Amazon 托管式策略中删除权限,因此策略更新不会破坏您的现有权限。

此外,Amazon 还支持跨多种服务的工作职能的托管式策略。例如,ViewOnlyAccess Amazon 托管式策略提供对许多 Amazon Web Services 服务和资源的只读访问权限。当服务启动新功能时,Amazon 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的 Amazon 托管策略

Amazon托管策略:AmazonFSxDeleteServiceLinkedRoleAccess

您不能将 AmazonFSxDeleteServiceLinkedRoleAccess 附加到自己的 IAM 实体。此策略关联到某项服务,仅用于该服务的某个服务。您不能附加、分离、修改或删除此策略。有关更多信息,请参阅 对 Amazon FSx for Lustre 使用服务相关角色

此策略授予管理权限,允许 Amazon FSx 删除其用于 Amazon S3 访问的服务关联角色,该角色仅供 Amazon FSx for Lustre 使用。

权限详细信息

此策略包含以下权限iam允许 Amazon FSx 查看、删除和查看 Amazon S3 访问权限的 FSx 服务关联角色的删除状态。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus", "iam:GetRole" ], "Resource": "arn:*:iam::*:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_*" } ] }

Amazon托管策略:AmazonFSxServiceRolePolicy

您无法附上 AmazonFSxServiceRolePolicy 至您的 IAM 实体。此策略附加到服务相关角色的策略允许 Amazon FSx 管理Amazon代表您使用的资源。有关更多信息,请参阅 对 Amazon FSx for Lustre 使用服务相关角色

此策略授予管理权限,允许 Amazon FSx 进行管理Amazon代表用户提供的资源。

权限详细信息

此策略包含以下权限。

  • cloudwatch— 允许 Amazon FSx 将指标数据点发布到 CloudWatch.

  • ds— 允许 Amazon FSx 查看、授权和取消您的应用程序中的授权Amazon Directory Service目录。

  • ec2— 允许 Amazon FSx 执行以下操作:

    • 查看、创建和取消关联与 Amazon FSx 文件系统关联的网络接口。

    • 查看与 Amazon FSx 文件系统关联的一个或多个弹性 IP 地址。

    • 查看与 Amazon FSx 文件系统关联的 Amazon VPC、安全组和子网。

    • 针对Amazon-授权用户在网络接口上执行特定操作。

  • route53— 允许 Amazon FSx 将Amazon VPC 与私有托管区域相关联。

  • logs— 允许 Amazon FSx 描述和写信给 CloudWatch 记录日志流。这样用户就可以将 FSx for Windows File Server 文件系统的文件访问审核日志发送到 CloudWatch 日志流。

  • firehose— 允许 Amazon FSx 描述和写入 Amazon Kinesis Data Firehose 传输流。这样用户就可以将FSx for Windows File Server 文件系统的文件访问审计日志发布到 Amazon Kinesis Data Firehose 传输流。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "ds:AuthorizeApplication", "ds:GetAuthorizedApplicationDetails", "ds:UnauthorizeApplication", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DescribeAddresses", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVPCs", "ec2:DisassociateAddress", "route53:AssociateVPCWithHostedZone" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*" ], "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" }, "ForAllValues:StringEquals": { "aws:TagKeys": "AmazonFSx.FileSystemId" } } }, { "Effect": "Allow", "Action": [ "ec2:AssignPrivateIpAddresses", "ec2:ModifyNetworkInterfaceAttribute", "ec2:UnassignPrivateIpAddresses" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*" ], "Condition": { "Null": { "aws:ResourceTag/AmazonFSx.FileSystemId": "false" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateRoute", "ec2:ReplaceRoute", "ec2:DeleteRoute" ], "Resource": [ "arn:aws:ec2:*:*:route-table/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx" } } }, { "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*" }, { "Effect": "Allow", "Action": [ "firehose:DescribeDeliveryStream", "firehose:PutRecord", "firehose:PutRecordBatch" ], "Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*" } ] }

Amazon托管策略:AmazonFSxFullAccess

你可以附上 AmazonFSxFullAccess 至您的 IAM 实体。Amazon FSx 还将此策略附加到服务角色,该角色允许 Amazon FSx 代表您执行操作。

提供对 Amazon FSx 的完全访问权限和相关访问权限Amazon服务。

权限详细信息

此策略包含以下权限。

  • fsx— 允许委托人完全访问以执行所有 Amazon FSx 操作。

  • ds— 允许委托人查看有关的信息Amazon Directory Service目录。

  • iam— 允许原则代表用户创建 Amazon FSx 服务关联角色。这是必需的,以便 Amazon FSx 可以管理Amazon代表用户提供的资源。

  • logs— 允许委托人创建日志组、日志流并将事件写入日志流。这是必需的,这样用户才能通过向发送审核访问日志来监控 FSx 的 Windows 文件服务器文件系统访问权限 CloudWatch 日志。

  • firehose— 允许委托人将记录写入 Amazon Kinesis Data Firehose。这是必需的,这样用户才能通过向 Kinesis Data Firehose 发送审核访问日志来监控 FSx 的 Windows 文件服务器文件系统访问权限。

  • ec2— 允许委托人在指定条件下创建标签。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:DescribeDirectories", "fsx:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "fsx.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "s3.data-source.lustre.fsx.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/fsx/*:log-group:*" ] }, { "Effect": "Allow", "Action": [ "firehose:PutRecord" ], "Resource": [ "arn:aws:firehose:*:*:deliverystream/aws-fsx-*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*:*:route-table/*" ], "Condition": { "StringEquals": { "aws:RequestTag/AmazonFSx": "ManagedByAmazonFSx" }, "ForAnyValue:StringEquals": { "aws:CalledVia": ["fsx.amazonaws.com"] } } } ] }

Amazon托管策略:AmazonFSxConsoleFullAccess

您可以将 AmazonFSxConsoleFullAccess 策略附加得到 IAM 身份。

此策略授予管理权限,允许完全访问 Amazon FSx 和相关权限Amazon通过提供的服务Amazon Web Services Management Console.

权限详细信息

此策略包含以下权限。

  • fsx— 允许委托人在 Amazon FSx 管理控制台中执行所有操作。

  • cloudwatch— 允许校长查看 CloudWatch Amazon FSx 管理控制台中的警报和指标。

  • ds— 允许委托人列出有关某项的信息Amazon Directory Service目录。

  • ec2— 允许委托人在路由表上创建标签,列出网络接口、路由表、安全组、子网和与 Amazon FSx 文件系统关联的 VPC。

  • kms— 允许委托人列出别名Amazon Key Management Service钥匙。

  • s3— 允许委托人列出 Amazon S3 存储桶中的部分或全部对象(最多 1000 个)。

  • iam— 授予创建服务相关角色的权限,该角色允许 Amazon FSx 代表用户执行操作。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricData", "ds:DescribeDirectories", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "firehose:ListDeliveryStreams", "fsx:*", "kms:ListAliases", "logs:DescribeLogGroups", "s3:ListBucket" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "fsx.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "s3.data-source.lustre.fsx.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*:*:route-table/*" ], "Condition": { "StringEquals": { "aws:RequestTag/AmazonFSx": "ManagedByAmazonFSx" }, "ForAnyValue:StringEquals": { "aws:CalledVia": ["fsx.amazonaws.com"] } } } ] }

Amazon托管策略:AmazonFSxConsoleReadOnlyAccess

您可以将 AmazonFSxConsoleReadOnlyAccess 策略附加得到 IAM 身份。

此策略授予 Amazon FSx 及相关策略的只读权限Amazon服务,以便用户可以在中查看有关这些服务的信息Amazon Web Services Management Console.

权限详细信息

此策略包含以下权限。

  • fsx— 允许委托人在 Amazon FSx 管理控制台中查看有关 Amazon FSx 文件系统的信息,包括所有标签。

  • cloudwatch— 允许校长查看 CloudWatch Amazon FSx 管理控制台中的警报和指标。

  • ds— 允许委托人查看有关某人的信息Amazon Directory Service亚马逊 FSx 管理控制台中的目录。

  • ec2— 允许委托人在 Amazon FSx 管理控制台中查看网络接口、安全组、子网和与 Amazon FSx 文件系统关联的 VPC。

  • kms— 允许委托人查看的别名Amazon Key Management Service亚马逊 FSx 管理控制台中的密钥。

  • log— 允许校长描述亚马逊 CloudWatch 记录与发出请求的账户关联的日志组。这是必需的,这样委托人才能查看 FSx for Windows File Server 文件系统的现有文件访问审核配置。

  • firehose— 允许委托人描述与提出请求的账户关联的 Amazon Kinesis Data Firehose 传输流。这是必需的,这样委托人才能查看 FSx for Windows File Server 文件系统的现有文件访问审核配置。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricData", "ds:DescribeDirectories", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "firehose:ListDeliveryStreams", "fsx:Describe*", "fsx:ListTagsForResource", "kms:DescribeKey", "logs:DescribeLogGroups" ], "Resource": "*" } ] }

Amazon托管策略:AmazonFSxReadOnlyAccess

您可以将 AmazonFSxReadOnlyAccess 策略附加得到 IAM 身份。

此策略授予管理权限,允许对 Amazon FSx 进行只读访问。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:Describe*", "fsx:ListTagsForResource" ], "Resource": "*" } ] }

Amazon FSx 的更新Amazon托管策略

要查看有关的更新的详细信息Amazon自从此服务开始跟踪这些更改以来,Amazon FSx 的托管策略。要获得有关此页面更改的自动提示,请订阅 Amazon FSx 上的 RSS 源文档历史记录页面。

更改 说明 日期

AmazonFSxConsoleReadOnlyAccess— 对现有策略的更新

Amazon FSx 添加了新的权限,使用户能够在 Amazon FSx 控制台中查看适用于 Windows 文件服务器文件系统的 FSx 的增强性能指标和推荐操作。

2022 年 9 月 21 日

AmazonFSxConsoleFullAccess— 对现有策略的更新

Amazon FSx 添加了新的权限,使用户能够在 Amazon FSx 控制台中查看适用于 Windows 文件服务器文件系统的 FSx 的增强性能指标和推荐操作。

2022 年 9 月 21 日

AmazonFSxReadOnlyAccess— 已开启跟踪策略

此策略授予对所有 Amazon FSx 资源以及与之相关的所有标签的只读访问权限。

2022 年 2 月 4 日

AmazonFSxDeleteServiceLinkedRoleAccess— 已开启跟踪策略

此策略授予管理权限,允许 Amazon FSx 删除其使用 Amazon S3 的服务。

2022 年 1 月 7 日

AmazonFSxServiceRolePolicy— 对现有策略的更新

Amazon FSx 添加了新权限,允许 Amazon FSx 管理亚马逊 FSx 的网络配置 NetApp ONTAP 文件系统。

2021 年 9 月 2 日

AmazonFSxFullAccess— 对现有策略的更新

Amazon FSx 添加了新的权限,允许 Amazon FSx 在 EC2 路由表上为限定范围的调用创建标签。

2021 年 9 月 2 日

AmazonFSxConsoleFullAccess— 对现有策略的更新

亚马逊 FSx 添加了新权限,允许亚马逊 FSx 为其创建 Amazon FSx NetApp ONTAP 多可用区文件系统。

2021 年 9 月 2 日

AmazonFSxConsoleFullAccess— 对现有策略的更新

Amazon FSx 添加了新的权限,允许 Amazon FSx 在 EC2 路由表上为限定范围的调用创建标签。

2021 年 9 月 2 日

AmazonFSxServiceRolePolicy— 对现有策略的更新

Amazon FSx 添加了新的权限,允许 Amazon FSx 描述和写入 CloudWatch 记录日志流。

这是必需的,这样用户才能使用以下方式查看 Windows File Server 文件系统的 FSx 的文件访问审核日志 CloudWatch 日志。

2021 年 6 月 8 日

AmazonFSxServiceRolePolicy— 对现有策略的更新

亚马逊 FSx 添加了新的权限,允许 Amazon FSx 描述和写入 Amazon Kinesis Data Firehose 交付流。

这是必需的,这样用户才能使用 Amazon Kinesis Data Firehose 查看 FSx for Windows 文件服务器文件系统的文件访问审计日志。

2021 年 6 月 8 日

AmazonFSxFullAccess— 对现有策略的更新

Amazon FSx 添加了新的权限,以允许委托人描述和创建 CloudWatch 记录日志组、日志流,并将事件写入日志流。

这是必需的,这样委托人才能使用以下方式查看 Windows File Server 文件系统的 FSx 的文件访问审核日志 CloudWatch 日志。

2021 年 6 月 8 日

AmazonFSxFullAccess— 对现有策略的更新

Amazon FSx 添加了新的权限,允许委托人在 Amazon Kinesis Data Firehose 中描述和写入记录。

这是必需的,这样用户才能使用 Amazon Kinesis Data Firehose 查看 FSx for Windows 文件服务器文件系统的文件访问审计日志。

2021 年 6 月 8 日

AmazonFSxConsoleFullAccess— 对现有策略的更新

Amazon FSx 添加了新的权限,允许委托人描述Amazon CloudWatch 记录与发出请求的账户关联的日志组。

这是必需的,这样校长才能选择现有的 CloudWatch 配置 FSx for Windows File Server 文件系统的 FSx for Windows File Server 文件系统时的日志组。

2021 年 6 月 8 日

AmazonFSxConsoleFullAccess— 对现有策略的更新

Amazon FSx 添加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Kinesis Data Firehose 传输流。

这是必需的,以便委托人在为 Windows 文件服务器文件系统的 FSx 配置文件访问审核时可以选择现有的 Kinesis Data Firehose 传输流。

2021 年 6 月 8 日

AmazonFSxConsoleReadOnlyAccess— 对现有策略的更新

Amazon FSx 添加了新的权限,允许委托人描述Amazon CloudWatch 记录与发出请求的账户关联的日志组。

这是必需的,这样委托人才能查看 FSx for Windows File Server 文件系统的现有文件访问审核配置。

2021 年 6 月 8 日

AmazonFSxConsoleReadOnlyAccess— 对现有策略的更新

Amazon FSx 添加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Kinesis Data Firehose 传输流。

这是必需的,这样委托人才能查看 FSx for Windows File Server 文件系统的现有文件访问审核配置。

2021 年 6 月 8 日

Amazon FSx 已开启跟踪更改

Amazon FSx 开始跟踪其 FSx 的更改Amazon托管策略。

2021 年 6 月 8 日