本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AmazonAmazon FSx 的托管策略
要向用户、组和角色添加权限,与自己编写策略相比,使用 Amazon 托管策略更简单。创建仅为团队提供所需权限的 IAM 客户托管策略需要时间和专业知识。要快速入门,您可以使用我们的 Amazon 托管式策略。这些策略涵盖常见使用案例,可在您的 Amazon Web Services 账户 中使用。有关 Amazon 托管式策略的更多信息,请参阅 IAM 用户指南中的Amazon 托管式策略。
Amazon Web Services 负责维护和更新 Amazon 托管式策略。您无法更改 Amazon 托管式策略中的权限。服务偶尔会向 Amazon 托管式策略添加额外权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新功能或新操作可用时,服务最有可能会更新 Amazon 托管式策略。服务不会从 Amazon 托管式策略中删除权限,因此策略更新不会破坏您的现有权限。
此外,Amazon 还支持跨多种服务的工作职能的托管式策略。例如,ViewOnlyAccess
Amazon 托管式策略提供对许多 Amazon Web Services 服务和资源的只读访问权限。当服务启动新功能时,Amazon 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的 Amazon 托管策略。
Amazon托管策略:AmazonFSxDeleteServiceLinkedRoleAccess
您不能将 AmazonFSxDeleteServiceLinkedRoleAccess
附加到自己的 IAM 实体。此策略关联到某项服务,仅用于该服务的某个服务。您不能附加、分离、修改或删除此策略。有关更多信息,请参阅 对 Amazon FSx for Lustre 使用服务相关角色。
此策略授予管理权限,允许 Amazon FSx 删除其用于 Amazon S3 访问的服务关联角色,该角色仅供 Amazon FSx for Lustre 使用。
权限详细信息
此策略包含以下权限iam
允许 Amazon FSx 查看、删除和查看 Amazon S3 访问权限的 FSx 服务关联角色的删除状态。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus", "iam:GetRole" ], "Resource": "arn:*:iam::*:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_*" } ] }
Amazon托管策略:AmazonFSxServiceRolePolicy
您无法附上 AmazonFSxServiceRolePolicy 至您的 IAM 实体。此策略附加到服务相关角色的策略允许 Amazon FSx 管理Amazon代表您使用的资源。有关更多信息,请参阅 对 Amazon FSx for Lustre 使用服务相关角色。
此策略授予管理权限,允许 Amazon FSx 进行管理Amazon代表用户提供的资源。
权限详细信息
此策略包含以下权限。
-
cloudwatch
— 允许 Amazon FSx 将指标数据点发布到 CloudWatch. -
ds
— 允许 Amazon FSx 查看、授权和取消您的应用程序中的授权Amazon Directory Service目录。 -
ec2
— 允许 Amazon FSx 执行以下操作:查看、创建和取消关联与 Amazon FSx 文件系统关联的网络接口。
查看与 Amazon FSx 文件系统关联的一个或多个弹性 IP 地址。
查看与 Amazon FSx 文件系统关联的 Amazon VPC、安全组和子网。
针对Amazon-授权用户在网络接口上执行特定操作。
-
route53
— 允许 Amazon FSx 将Amazon VPC 与私有托管区域相关联。 -
logs
— 允许 Amazon FSx 描述和写信给 CloudWatch 记录日志流。这样用户就可以将 FSx for Windows File Server 文件系统的文件访问审核日志发送到 CloudWatch 日志流。 -
firehose
— 允许 Amazon FSx 描述和写入 Amazon Kinesis Data Firehose 传输流。这样用户就可以将FSx for Windows File Server 文件系统的文件访问审计日志发布到 Amazon Kinesis Data Firehose 传输流。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "ds:AuthorizeApplication", "ds:GetAuthorizedApplicationDetails", "ds:UnauthorizeApplication", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DescribeAddresses", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVPCs", "ec2:DisassociateAddress", "route53:AssociateVPCWithHostedZone" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*" ], "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" }, "ForAllValues:StringEquals": { "aws:TagKeys": "AmazonFSx.FileSystemId" } } }, { "Effect": "Allow", "Action": [ "ec2:AssignPrivateIpAddresses", "ec2:ModifyNetworkInterfaceAttribute", "ec2:UnassignPrivateIpAddresses" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*" ], "Condition": { "Null": { "aws:ResourceTag/AmazonFSx.FileSystemId": "false" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateRoute", "ec2:ReplaceRoute", "ec2:DeleteRoute" ], "Resource": [ "arn:aws:ec2:*:*:route-table/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx" } } }, { "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*" }, { "Effect": "Allow", "Action": [ "firehose:DescribeDeliveryStream", "firehose:PutRecord", "firehose:PutRecordBatch" ], "Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*" } ] }
Amazon托管策略:AmazonFSxFullAccess
你可以附上 AmazonFSxFullAccess 至您的 IAM 实体。Amazon FSx 还将此策略附加到服务角色,该角色允许 Amazon FSx 代表您执行操作。
提供对 Amazon FSx 的完全访问权限和相关访问权限Amazon服务。
权限详细信息
此策略包含以下权限。
-
fsx
— 允许委托人完全访问以执行所有 Amazon FSx 操作。 -
ds
— 允许委托人查看有关的信息Amazon Directory Service目录。 iam
— 允许原则代表用户创建 Amazon FSx 服务关联角色。这是必需的,以便 Amazon FSx 可以管理Amazon代表用户提供的资源。-
logs
— 允许委托人创建日志组、日志流并将事件写入日志流。这是必需的,这样用户才能通过向发送审核访问日志来监控 FSx 的 Windows 文件服务器文件系统访问权限 CloudWatch 日志。 firehose
— 允许委托人将记录写入 Amazon Kinesis Data Firehose。这是必需的,这样用户才能通过向 Kinesis Data Firehose 发送审核访问日志来监控 FSx 的 Windows 文件服务器文件系统访问权限。ec2
— 允许委托人在指定条件下创建标签。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:DescribeDirectories", "fsx:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "fsx.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "s3.data-source.lustre.fsx.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/fsx/*:log-group:*" ] }, { "Effect": "Allow", "Action": [ "firehose:PutRecord" ], "Resource": [ "arn:aws:firehose:*:*:deliverystream/aws-fsx-*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*:*:route-table/*" ], "Condition": { "StringEquals": { "aws:RequestTag/AmazonFSx": "ManagedByAmazonFSx" }, "ForAnyValue:StringEquals": { "aws:CalledVia": ["fsx.amazonaws.com"] } } } ] }
Amazon托管策略:AmazonFSxConsoleFullAccess
您可以将 AmazonFSxConsoleFullAccess
策略附加得到 IAM 身份。
此策略授予管理权限,允许完全访问 Amazon FSx 和相关权限Amazon通过提供的服务Amazon Web Services Management Console.
权限详细信息
此策略包含以下权限。
-
fsx
— 允许委托人在 Amazon FSx 管理控制台中执行所有操作。 -
cloudwatch
— 允许校长查看 CloudWatch Amazon FSx 管理控制台中的警报和指标。 -
ds
— 允许委托人列出有关某项的信息Amazon Directory Service目录。 -
ec2
— 允许委托人在路由表上创建标签,列出网络接口、路由表、安全组、子网和与 Amazon FSx 文件系统关联的 VPC。 -
kms
— 允许委托人列出别名Amazon Key Management Service钥匙。 -
s3
— 允许委托人列出 Amazon S3 存储桶中的部分或全部对象(最多 1000 个)。 -
iam
— 授予创建服务相关角色的权限,该角色允许 Amazon FSx 代表用户执行操作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricData", "ds:DescribeDirectories", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "firehose:ListDeliveryStreams", "fsx:*", "kms:ListAliases", "logs:DescribeLogGroups", "s3:ListBucket" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "fsx.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "s3.data-source.lustre.fsx.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*:*:route-table/*" ], "Condition": { "StringEquals": { "aws:RequestTag/AmazonFSx": "ManagedByAmazonFSx" }, "ForAnyValue:StringEquals": { "aws:CalledVia": ["fsx.amazonaws.com"] } } } ] }
Amazon托管策略:AmazonFSxConsoleReadOnlyAccess
您可以将 AmazonFSxConsoleReadOnlyAccess
策略附加得到 IAM 身份。
此策略授予 Amazon FSx 及相关策略的只读权限Amazon服务,以便用户可以在中查看有关这些服务的信息Amazon Web Services Management Console.
权限详细信息
此策略包含以下权限。
-
fsx
— 允许委托人在 Amazon FSx 管理控制台中查看有关 Amazon FSx 文件系统的信息,包括所有标签。 -
cloudwatch
— 允许校长查看 CloudWatch Amazon FSx 管理控制台中的警报和指标。 -
ds
— 允许委托人查看有关某人的信息Amazon Directory Service亚马逊 FSx 管理控制台中的目录。 -
ec2
— 允许委托人在 Amazon FSx 管理控制台中查看网络接口、安全组、子网和与 Amazon FSx 文件系统关联的 VPC。 -
kms
— 允许委托人查看的别名Amazon Key Management Service亚马逊 FSx 管理控制台中的密钥。 -
log
— 允许校长描述亚马逊 CloudWatch 记录与发出请求的账户关联的日志组。这是必需的,这样委托人才能查看 FSx for Windows File Server 文件系统的现有文件访问审核配置。 -
firehose
— 允许委托人描述与提出请求的账户关联的 Amazon Kinesis Data Firehose 传输流。这是必需的,这样委托人才能查看 FSx for Windows File Server 文件系统的现有文件访问审核配置。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricData", "ds:DescribeDirectories", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "firehose:ListDeliveryStreams", "fsx:Describe*", "fsx:ListTagsForResource", "kms:DescribeKey", "logs:DescribeLogGroups" ], "Resource": "*" } ] }
Amazon托管策略:AmazonFSxReadOnlyAccess
您可以将 AmazonFSxReadOnlyAccess
策略附加得到 IAM 身份。
此策略授予管理权限,允许对 Amazon FSx 进行只读访问。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:Describe*", "fsx:ListTagsForResource" ], "Resource": "*" } ] }
Amazon FSx 的更新Amazon托管策略
要查看有关的更新的详细信息Amazon自从此服务开始跟踪这些更改以来,Amazon FSx 的托管策略。要获得有关此页面更改的自动提示,请订阅 Amazon FSx 上的 RSS 源文档历史记录页面。
更改 | 说明 | 日期 |
---|---|---|
AmazonFSxConsoleReadOnlyAccess— 对现有策略的更新 |
Amazon FSx 添加了新的权限,使用户能够在 Amazon FSx 控制台中查看适用于 Windows 文件服务器文件系统的 FSx 的增强性能指标和推荐操作。 |
2022 年 9 月 21 日 |
AmazonFSxConsoleFullAccess— 对现有策略的更新 |
Amazon FSx 添加了新的权限,使用户能够在 Amazon FSx 控制台中查看适用于 Windows 文件服务器文件系统的 FSx 的增强性能指标和推荐操作。 |
2022 年 9 月 21 日 |
AmazonFSxReadOnlyAccess— 已开启跟踪策略 |
此策略授予对所有 Amazon FSx 资源以及与之相关的所有标签的只读访问权限。 |
2022 年 2 月 4 日 |
此策略授予管理权限,允许 Amazon FSx 删除其使用 Amazon S3 的服务。 |
2022 年 1 月 7 日 | |
AmazonFSxServiceRolePolicy— 对现有策略的更新 |
Amazon FSx 添加了新权限,允许 Amazon FSx 管理亚马逊 FSx 的网络配置 NetApp ONTAP 文件系统。 |
2021 年 9 月 2 日 |
AmazonFSxFullAccess— 对现有策略的更新 |
Amazon FSx 添加了新的权限,允许 Amazon FSx 在 EC2 路由表上为限定范围的调用创建标签。 |
2021 年 9 月 2 日 |
AmazonFSxConsoleFullAccess— 对现有策略的更新 |
亚马逊 FSx 添加了新权限,允许亚马逊 FSx 为其创建 Amazon FSx NetApp ONTAP 多可用区文件系统。 |
2021 年 9 月 2 日 |
AmazonFSxConsoleFullAccess— 对现有策略的更新 |
Amazon FSx 添加了新的权限,允许 Amazon FSx 在 EC2 路由表上为限定范围的调用创建标签。 |
2021 年 9 月 2 日 |
AmazonFSxServiceRolePolicy— 对现有策略的更新 |
Amazon FSx 添加了新的权限,允许 Amazon FSx 描述和写入 CloudWatch 记录日志流。 这是必需的,这样用户才能使用以下方式查看 Windows File Server 文件系统的 FSx 的文件访问审核日志 CloudWatch 日志。 |
2021 年 6 月 8 日 |
AmazonFSxServiceRolePolicy— 对现有策略的更新 |
亚马逊 FSx 添加了新的权限,允许 Amazon FSx 描述和写入 Amazon Kinesis Data Firehose 交付流。 这是必需的,这样用户才能使用 Amazon Kinesis Data Firehose 查看 FSx for Windows 文件服务器文件系统的文件访问审计日志。 |
2021 年 6 月 8 日 |
AmazonFSxFullAccess— 对现有策略的更新 |
Amazon FSx 添加了新的权限,以允许委托人描述和创建 CloudWatch 记录日志组、日志流,并将事件写入日志流。 这是必需的,这样委托人才能使用以下方式查看 Windows File Server 文件系统的 FSx 的文件访问审核日志 CloudWatch 日志。 |
2021 年 6 月 8 日 |
AmazonFSxFullAccess— 对现有策略的更新 |
Amazon FSx 添加了新的权限,允许委托人在 Amazon Kinesis Data Firehose 中描述和写入记录。 这是必需的,这样用户才能使用 Amazon Kinesis Data Firehose 查看 FSx for Windows 文件服务器文件系统的文件访问审计日志。 |
2021 年 6 月 8 日 |
AmazonFSxConsoleFullAccess— 对现有策略的更新 |
Amazon FSx 添加了新的权限,允许委托人描述Amazon CloudWatch 记录与发出请求的账户关联的日志组。 这是必需的,这样校长才能选择现有的 CloudWatch 配置 FSx for Windows File Server 文件系统的 FSx for Windows File Server 文件系统时的日志组。 |
2021 年 6 月 8 日 |
AmazonFSxConsoleFullAccess— 对现有策略的更新 |
Amazon FSx 添加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Kinesis Data Firehose 传输流。 这是必需的,以便委托人在为 Windows 文件服务器文件系统的 FSx 配置文件访问审核时可以选择现有的 Kinesis Data Firehose 传输流。 |
2021 年 6 月 8 日 |
AmazonFSxConsoleReadOnlyAccess— 对现有策略的更新 |
Amazon FSx 添加了新的权限,允许委托人描述Amazon CloudWatch 记录与发出请求的账户关联的日志组。 这是必需的,这样委托人才能查看 FSx for Windows File Server 文件系统的现有文件访问审核配置。 |
2021 年 6 月 8 日 |
AmazonFSxConsoleReadOnlyAccess— 对现有策略的更新 |
Amazon FSx 添加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Kinesis Data Firehose 传输流。 这是必需的,这样委托人才能查看 FSx for Windows File Server 文件系统的现有文件访问审核配置。 |
2021 年 6 月 8 日 |
Amazon FSx 已开启跟踪更改 |
Amazon FSx 开始跟踪其 FSx 的更改Amazon托管策略。 |
2021 年 6 月 8 日 |