AmazonAmazon FSx 的托管策略 - Amazon FSx for Lustre
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AmazonAmazon FSx 的托管策略

要向用户、组和角色添加权限,与自己编写策略相比,使用 Amazon 托管策略更简单。创建仅为团队提供所需权限的 IAM 客户托管策略需要时间和专业知识。要快速入门,您可以使用我们的 Amazon 托管策略。这些策略涵盖常见使用案例,可在您的 Amazon Web Services 账户 中使用。有关 Amazon 托管策略的更多信息,请参阅《IAM 用户指南》中的 Amazon 托管策略

Amazon服务负责维护和更新Amazon托管策略。您无法更改Amazon托管策略中的权限。服务偶尔会向Amazon托管策略添加额外权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新功能或新操作可用时,服务最有可能会更新Amazon托管策略。服务不会从Amazon托管策略中删除权限,因此策略更新不会破坏您的现有权限。

此外,Amazon还支持跨多种服务的工作职能的托管策略。例如,ReadOnlyAccess Amazon 托管策略提供对所有 Amazon 服务和资源的只读访问权限。当服务启动新功能时,Amazon会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅《IAM 用户指南》中的适用于工作职能的 Amazon 托管策略

Amazon托管策略:卓越亚马逊服务政策

您无法将卓越亚马逊服务策略附加到您的 IAM 实体。此策略附加到一个与服务相关的角色,该角色允许 Amazon FSX 管理Amazon资源。有关更多信息,请参阅 将 Amazon FSx 用于 Lustre 的服务相关角色用于 Amazon FSx

此策略授予管理权限,允许 Amazon FSX 管理Amazon代表用户返回。

权限详细信息

此策略包含以下权限。

  • cloudwatch— 允许 Amazon FSx 将指标数据点发布到 CloudWatch。

  • ds— 允许 Amazon FSX 查看、授权和取消授权Amazon Directory Service目录。

  • ec2— 允许 Amazon FSx 执行以下操作:

    • 查看、创建和取消与 Amazon FSX 文件系统关联的网络接口的关联。

    • 查看与 Amazon FSx 文件系统关联的一个或多个弹性 IP 地址。

    • 查看与 Amazon FSX 文件系统关联的 Amazon VPC、安全组和子网。

    • 创建权限Amazon— 授权用户可在网络接口上执行特定操作。

  • route53— 允许 Amazon FSx 将 Amazon VPC 与私有托管区域相关联。

  • logs— 允许亚马逊 FSX 描述和写入 CloudWatch Logs 流。这让用户能够将 Amazon FSx on File Server 文件系统的文件访问审核日志发送到 CloudWatch Logs 流。

  • firehose— 允许 Amazon FSx 描述并写入 Amazon Kinesis Data Firehose 传输流。这让用户能够将 Amazon FSx to Windows File Server 文件系统的文件访问审核日志发布到 Amazon Kinesis Data Firehose 传输流。

{ "Version": "2012-10-17", "Statement": [ { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "ds:AuthorizeApplication", "ds:GetAuthorizedApplicationDetails", "ds:UnauthorizeApplication", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DescribeAddresses", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DisassociateAddress", "route53:AssociateVPCWithHostedZone" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*" }, { "Effect": "Allow", "Action": [ "firehose:DescribeDeliveryStream", "firehose:PutRecord", "firehose:PutRecordBatch" ], "Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*" } ] }

Amazon托管策略:卓越亚马逊完全访问权限

您可以将卓越亚马逊全面访问权限附加到您的 IAM 实体。Amazon FSx 还将此策略附加到允许 Amazon FSx 代表您执行操作的服务角色。

提供对 Amazon FSX 的完全访问权限,并访问相关Amazon服务。

权限详细信息

此策略包含以下权限。

  • fsx— 允许委托人执行所有 Amazon FSX 操作的完全访问权限。

  • ds— 允许委托人查看有关Amazon Directory Service目录。

  • iam— 允许代表用户创建 Amazon FSX 服务链接角色的原则。这是必需的,以便亚马逊 FSX 可以管理Amazon资源代表用户。

  • logs— 允许承担者创建日志组、日志流以及将事件写入日志流。这是必需的,以便用户可以通过将审核访问日志发送到 CloudWatch Logs 日志来监视 Amazon FSX 的 Windows 文件服务器文件系统访问权限。

  • firehose— 允许委托人将记录写入 Amazon Kinesis Data Firehose。这是必需的,以便用户可以通过将审核访问日志发送到 Kinesis Data Firehose 来监视 Amazon FSX 的 Windows 文件服务器文件系统访问。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:DescribeDirectories", "fsx:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "fsx.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "s3.data-source.lustre.fsx.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/fsx/*:log-group:*" ] }, { "Effect": "Allow", "Action": [ "firehose:PutRecord" ], "Resource": [ "arn:aws:firehose:*:*:deliverystream/aws-fsx-*" ] } ] }

Amazon托管策略:卓越亚马逊控制台完全访问权限

您可以将 AmazonFSxConsoleFullAccess 策略附加得到 IAM 身份。

此策略授予允许完全访问 Amazon FSx 以及访问相关Amazon通过Amazon Web Services Management Console.

权限详细信息

此策略包含以下权限。

  • fsx— 允许委托人在 Amazon FSX 管理控制台中执行所有操作。

  • cloudwatch— 允许委托人在亚马逊 FSX 管理控制台中查看 CloudWatch 警报。

  • ds— 允许委托人列出有关Amazon Directory Service目录。

  • ec2— 允许委托人列出网络接口、安全组、子网以及与 Amazon FSX 文件系统关联的 VPC。

  • kms— 允许委托人列出Amazon Key Management Service键。

  • s3— 允许委托人列出 Amazon S3 存储桶中的部分或全部对象(最多 1000 个)。

  • iam— 授予创建允许 Amazon FSX 代表用户执行操作的服务链接角色的权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "ds:DescribeDirectories", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "firehose:ListDeliveryStreams", "fsx:*", "kms:ListAliases", "logs:DescribeLogGroups", "s3:ListBucket" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "fsx.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "s3.data-source.lustre.fsx.amazonaws.com" ] } } } ] }

Amazon托管策略:卓越亚马逊控制台只读访问权限

您可以将 AmazonFSxConsoleReadOnlyAccess 策略附加得到 IAM 身份。

此策略授予 Amazon FSx 和相关Amazon服务,以便用户可以在Amazon Web Services Management Console.

权限详细信息

此策略包含以下权限。

  • fsx— 允许委托人在 Amazon FSX 管理控制台中查看有关 Amazon FSX 文件系统的信息,包括所有标签。

  • cloudwatch— 允许委托人在亚马逊 FSX 管理控制台中查看 CloudWatch 警报。

  • ds— 允许委托人查看有关Amazon Directory Service目 FSx。

  • ec2— 允许委托人在 Amazon FSX 管理控制台中查看与 Amazon FSX 文件系统相关联的网络接口、安全组、子网和 VPC。

  • kms— 允许委托人查看Amazon Key Management Service密 FSx。

  • log— 允许委托人描述与发出请求的账户关联的 Amazon CloudWatch Logs 组。这是必需的,以便委托人能够查看 Amazon FSx on Windows File Server 文件系统的现有文件访问审核配置。

  • firehose— 允许委托人描述与提出请求的账户关联的 Amazon Kinesis Data Firehose 传送流。这是必需的,以便委托人能够查看 Amazon FSx on Windows File Server 文件系统的现有文件访问审核配置。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "ds:DescribeDirectories", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "firehose:ListDeliveryStreams", "fsx:Describe*", "fsx:ListTagsForResource", "kms:DescribeKey", "logs:DescribeLogGroups" ], "Resource": "*" } ] }

Amazon FSx 对Amazon托管策略

查看有关AmazonAmazon FSx 的托管策略,因为此服务开始跟踪这些更改。有关此页面更改的提示,请订阅 Amazon FSx 上的 RSS 源文档历史记录页.

更改 说明 日期

卓越亚马逊服务政策— 对现有策略的更新

亚马逊 FSX 添加了新的权限,允许亚马逊 FSX 描述和写入 CloudWatch Logs 流。

这是必需的,以便用户可以使用 CloudWatch 日志查看适用于 Windows 文件服务器文件系统的 Amazon FSX 的文件访问审核日志。

2021 年 6 月 8 日

卓越亚马逊服务政策— 对现有策略的更新

亚马逊 FSX 添加了新的权限,允许亚马逊 FSX 描述和写入 Amazon Kinesis Data Firehose 交付流。

这是必需的,以便用户能够查看 Amazon FSx to Windows File Server 文件系统的文件访问审核日志。

2021 年 6 月 8 日

卓越亚马逊完全访问权限— 对现有策略的更新

Amazon FSX 添加了新的权限,允许委托人描述和创建 CloudWatch Logs 组、日志流以及将事件写入日志流。

这是必需的,以便委托人可以使用 CloudWatch 日志查看适用于 Windows 文件服务器文件系统的 Amazon FSX 的文件访问审核日志。

2021 年 6 月 8 日

卓越亚马逊完全访问权限— 对现有策略的更新

Amazon FSX 添加了新的权限,允许委托人描述和写入 Amazon Kinesis Data Firehose 的记录。

这是必需的,以便用户能够查看 Amazon FSx to Windows File Server 文件系统的文件访问审核日志。

2021 年 6 月 8 日

卓越亚马逊控制台完全访问权限— 对现有策略的更新

Amazon FSX 添加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon CloudWatch Logs 组。

这是必需的,以便委托人在为 Amazon FSx for Windows File Server 文件系统配置文件访问审核时可以选择现有 CloudWatch Logs 日志组。

2021 年 6 月 8 日

卓越亚马逊控制台完全访问权限— 对现有策略的更新

Amazon FSX 添加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Kinesis Data Firehose 传送流。

这是必需的,以便委托人在为 Amazon FSx for Windows File Server 文件系统配置文件访问审核时可以选择现有 Kinesis Data Firehose 传递流。

2021 年 6 月 8 日

卓越亚马逊控制台只读访问权限— 对现有策略的更新

Amazon FSX 添加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon CloudWatch Logs 组。

这是必需的,以便委托人能够查看 Amazon FSx on Windows File Server 文件系统的现有文件访问审核配置。

2021 年 6 月 8 日

卓越亚马逊控制台只读访问权限— 对现有策略的更新

Amazon FSX 添加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Kinesis Data Firehose 传送流。

这是必需的,以便委托人能够查看 Amazon FSx on Windows File Server 文件系统的现有文件访问审核配置。

2021 年 6 月 8 日

Amazon FSx 开始跟踪更改

Amazon FSx 开始跟踪其Amazon托管策略。

2021 年 6 月 8 日