Amazon Amazon 的托管政策 FSx - FSx 适用于 ONTAP
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Amazon 的托管政策 FSx

Amazon 托管策略是由创建和管理的独立策略 Amazon。 Amazon 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住, Amazon 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。

您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新 Amazon 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 Amazon 最有可能在启动新的 API 或现有服务可以使用新 Amazon Web Services 服务 的 API 操作时更新 Amazon 托管策略。

有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管策略

Amazon FSx ServiceRolePolicy

允许 FSx Amazon 代表您管理 Amazon 资源。请参阅使用适用于 Amazon 的服务相关角色 FSx,了解更多信息。

Amazon 托管策略:Amazon FSx DeleteServiceLinkedRoleAccess

您不能将 AmazonFSxDeleteServiceLinkedRoleAccess 附加到自己的 IAM 实体。该策略关联到服务,仅用于该服务的服务相关角色。您不能附加、分离、修改或删除此策略。有关更多信息,请参阅 使用适用于 Amazon 的服务相关角色 FSx

该策略授予管理权限,允许亚马逊 FSx 删除其对 Amazon S3 访问权限的服务关联角色,该角色仅 FSx 供亚马逊用于 Lustre。

权限详细信息

此策略包括iam允许亚马逊 FSx 查看、删除和查看 Amazon S3 FSx 服务关联角色访问权限的删除状态的权限。

要查看此策略的权限,请参阅《 Amazon 托管策略参考指南》FSxDeleteServiceLinkedRoleAccess中的 Amazon

Amazon 托管策略:Amazon FSx FullAccess

您可以将 Amazon 附加FSxFullAccess 到您的 IAM 实体。亚马逊 FSx 还将此政策附加到允许亚马逊 FSx 代表您执行操作的服务角色。

提供对 Amazon 的完全访问权限 FSx 和相关 Amazon 服务的访问权限。

权限详细信息

该策略包含以下权限。

  • fsx— 允许委托人具有执行所有 Amazon FSx 操作的完全访问权限,但以下操作除外。BypassSnaplockEnterpriseRetention

  • ds— 允许委托人查看有关 Amazon Directory Service 目录的信息。

  • ec2

    • 允许主体在指定的条件下创建标签。

    • 为可以与 VPC 配合使用的所有安全组提供增强的安全组验证。

  • iam— 允许原则代表用户创建 Amazon FSx 服务关联角色。这是必需的,这样 Amazon FSx 才能代表用户管理 Amazon 资源。

  • logs – 允许主体创建日志组、日志流并将事件写入日志流。这是必需的,这样用户才能通过向日志发送审核访问日志来监控 FSx Windows 文件服务器文件系统的访问权限。 CloudWatch

  • firehose – 允许主体将记录写入 Amazon Data Firehose。这是必需的,这样用户才能通过向 Firehose 发送审核访问日志来监控 FSx Windows 文件服务器文件系统的访问权限。

要查看此策略的权限,请参阅《 Amazon 托管策略参考指南》FSxFullAccess中的 Amazon

Amazon 托管策略:Amazon FSx ConsoleFullAccess

您可以将 AmazonFSxConsoleFullAccess 策略附加到 IAM 身份。

此政策授予管理权限,允许用户完全访问亚马逊 FSx 并通过访问相关 Amazon 服务 Amazon Web Services Management Console。

权限详细信息

该策略包含以下权限。

  • fsx— 允许委托人在 Amazon FSx 管理控制台中执行所有操作,但以下操作除外。BypassSnaplockEnterpriseRetention

  • cloudwatch— 允许委托人在 Amazon FSx 管理控制台中查看 CloudWatch 警报和指标。

  • ds— 允许委托人列出有关 Amazon Directory Service 目录的信息。

  • ec2

    • 允许委托人在路由表上创建标签,列出网络接口、路由表、安全组、子网和与 Amazon FSx 文件系统关联的 VPC。

    • 允许主体为可以与 VPC 配合使用的所有安全组提供增强的安全组验证。

  • kms— 允许委托人列出密钥的别名。 Amazon Key Management Service

  • s3 – 允许主体列出 Amazon S3 桶中的部分或全部对象(最多 1000 个)。

  • iam— 授予创建服务关联角色的权限,该角色允许 Amazon FSx 代表用户执行操作。

要查看此策略的权限,请参阅《 Amazon 托管策略参考指南》FSxConsoleFullAccess中的 Amazon

Amazon 托管策略:Amazon FSx ConsoleReadOnlyAccess

您可以将 AmazonFSxConsoleReadOnlyAccess 策略附加到 IAM 身份。

此政策向 Amazon FSx 和相关 Amazon 服务授予只读权限,以便用户可以在中查看有关这些服务的信息 Amazon Web Services Management Console。

权限详细信息

该策略包含以下权限。

  • fsx— 允许委托人在 Amazon FSx 管理控制台中查看有关亚马逊 FSx 文件系统的信息,包括所有标签。

  • cloudwatch— 允许委托人在 Amazon FSx 管理控制台中查看 CloudWatch 警报和指标。

  • ds— 允许委托人在 Amazon FSx 管理控制台中查看有关 Amazon Directory Service 目录的信息。

  • ec2

    • 允许委托人在 Amazon FSx 管理控制台中查看网络接口、安全组、子网和与 Amazon FSx 文件系统关联的 VPC。

    • 为可以与 VPC 配合使用的所有安全组提供增强的安全组验证。

  • kms— 允许委托人在 Amazon FSx 管理控制台中查看 Amazon Key Management Service 密钥的别名。

  • log— 允许委托人描述与提出请求的账户关联的 Amazon Logs CloudWatch 日志组。这是必需的,这样委托人才能查看适用于 Windows 文件服务器的文件系统的现有文件访问审核配置。 FSx

  • firehose – 允许主体描述与发出请求的账户关联的 Amazon Data Firehose 传输流。这是必需的,这样委托人才能查看适用于 Windows 文件服务器的文件系统的现有文件访问审核配置。 FSx

要查看此策略的权限,请参阅《 Amazon 托管策略参考指南》FSxConsoleReadOnlyAccess中的 Amazon

Amazon 托管策略:Amazon FSx ReadOnlyAccess

您可以将 AmazonFSxReadOnlyAccess 策略附加到 IAM 身份。

该策略包含以下权限。

  • fsx— 允许委托人在 Amazon FSx 管理控制台中查看有关亚马逊 FSx 文件系统的信息,包括所有标签。

  • ec2 - 为可以与 VPC 配合使用的所有安全组提供增强的安全组验证。

要查看此策略的权限,请参阅《 Amazon 托管策略参考指南》FSxReadOnlyAccess中的 Amazon

亚马逊 FSx 更新了托 Amazon 管政策

查看 FSx 自该服务开始跟踪这些变更以来亚马逊 Amazon 托管政策更新的详细信息。要获取有关此页面变更的自动提醒,请订阅 Amazon FSx 适用于 NetApp ONTAP 的 Amazon FSx 文档历史记录 页面上的 RSS 提要。

更改 描述 日期

亚马逊 FSx ServiceRolePolicy-对现有政策的更新

Amazon FSx 增加了新权限ec2:GetSecurityGroupsForVpc,允许委托人对可用于 VPC 的所有安全组提供增强的安全组验证。

2024 年 1 月 9 日

亚马逊 FSx ReadOnlyAccess-对现有政策的更新

Amazon FSx 增加了新权限ec2:GetSecurityGroupsForVpc,允许委托人对可用于 VPC 的所有安全组提供增强的安全组验证。

2024 年 1 月 9 日

亚马逊 FSx ConsoleReadOnlyAccess-对现有政策的更新

Amazon FSx 增加了新权限ec2:GetSecurityGroupsForVpc,允许委托人对可用于 VPC 的所有安全组提供增强的安全组验证。

2024 年 1 月 9 日

亚马逊 FSx FullAccess-对现有政策的更新

Amazon FSx 增加了新权限ec2:GetSecurityGroupsForVpc,允许委托人对可用于 VPC 的所有安全组提供增强的安全组验证。

2024 年 1 月 9 日

亚马逊 FSx ConsoleFullAccess-对现有政策的更新

Amazon FSx 增加了新权限ec2:GetSecurityGroupsForVpc,允许委托人对可用于 VPC 的所有安全组提供增强的安全组验证。

2024 年 1 月 9 日

亚马逊 FSx FullAccess-对现有政策的更新

Amazon FSx 增加了新的权限,允许用户对 OpenZFS 文件系统执行跨区域和跨账户数据复制。 FSx

2023 年 12 月 20 日

亚马逊 FSx ConsoleFullAccess-对现有政策的更新

Amazon FSx 增加了新的权限,允许用户对 OpenZFS 文件系统执行跨区域和跨账户数据复制。 FSx

2023 年 12 月 20 日

亚马逊 FSx FullAccess-对现有政策的更新

Amazon FSx 添加了一项新权限,允许用户按需复制 OpenZFS 文件系统的卷。 FSx

2023 年 11 月 26 日

亚马逊 FSx ConsoleFullAccess-对现有政策的更新

Amazon FSx 添加了一项新权限,允许用户按需复制 OpenZFS 文件系统的卷。 FSx

2023 年 11 月 26 日

亚马逊 FSx FullAccess-对现有政策的更新

Amazon FSx 添加了新的权限,使用户能够查看、启用和禁用 ONTAP 多可用区文件 FSx 系统的共享 VPC 支持。

2023 年 11 月 14 日

亚马逊 FSx ConsoleFullAccess-对现有政策的更新

Amazon FSx 添加了新的权限,使用户能够查看、启用和禁用 ONTAP 多可用区文件 FSx 系统的共享 VPC 支持。

2023 年 11 月 14 日

亚马逊 FSx FullAccess-对现有政策的更新

亚马逊 FSx 增加了新的权限, FSx 允许亚马逊管理 OpenZFS 多可用区文件系统的网络配置。 FSx

2023 年 8 月 9 日

Amazon 托管策略:Amazon FSx ServiceRolePolicy — 更新现有政策

亚马逊 FSx 修改了现有cloudwatch:PutMetricData权限,以便亚马逊将 CloudWatch 指标 FSx 发布到Amazon/FSx命名空间。

2023 年 7 月 24 日

亚马逊 FSx FullAccess-更新现有政策

Amazon FSx 更新了政策,删除了fsx:*权限并添加了具体fsx操作。

2023 年 7 月 13 日

亚马逊 FSx ConsoleFullAccess-更新现有政策

Amazon FSx 更新了政策,删除了fsx:*权限并添加了具体fsx操作。

2023 年 7 月 13 日

亚马逊 FSx ConsoleReadOnlyAccess-更新现有政策

亚马逊 FSx 增加了新的权限,使用户能够在亚马逊 FSx 控制台中查看 Windows 文件服务器文件系统的增强性能指标和建议的操作。 FSx

2022 年 9 月 21 日

亚马逊 FSx ConsoleFullAccess-更新现有政策

亚马逊 FSx 增加了新的权限,使用户能够在亚马逊 FSx 控制台中查看 Windows 文件服务器文件系统的增强性能指标和建议的操作。 FSx

2022 年 9 月 21 日

亚马逊 FSx ReadOnlyAccess-已开始追踪政策

该政策授予对所有 Amazon FSx 资源以及与之关联的任何标签的只读访问权限。

2022 年 2 月 4 日

亚马逊 FSx DeleteServiceLinkedRoleAccess-已开始追踪政策

此策略授予管理权限, FSx 允许亚马逊删除其对 Amazon S3 访问权限的服务关联角色。

2022 年 1 月 7 日

亚马逊 FSx ServiceRolePolicy-更新现有政策

亚马逊 FSx 增加了新的权限, FSx 允许亚马逊管理适用 FSx 于 NetApp ONTAP 文件系统的亚马逊网络配置。

2021 年 9 月 2 日

亚马逊 FSx FullAccess-更新现有政策

亚马逊 FSx 添加了新的权限, FSx 允许亚马逊在 EC2 路由表上为限定范围的呼叫创建标签。

2021 年 9 月 2 日

亚马逊 FSx ConsoleFullAccess-更新现有政策

亚马逊 FSx 添加了新的权限, FSx 允许亚马逊为 NetApp ONTAP 多可用区文件系统创建亚马逊 FSx 。

2021 年 9 月 2 日

亚马逊 FSx ConsoleFullAccess-更新现有政策

亚马逊 FSx 添加了新的权限, FSx 允许亚马逊在 EC2 路由表上为限定范围的呼叫创建标签。

2021 年 9 月 2 日

亚马逊 FSx ServiceRolePolicy-更新现有政策

Amazon FSx 添加了新的权限 FSx ,允许亚马逊描述和写入 CloudWatch 日志流。

这是必需的,这样用户才能使用日志查看 Windows 文件服务器文件系统的文件访问审核 CloudWatch 日志。 FSx

2021 年 6 月 8 日

亚马逊 FSx ServiceRolePolicy-更新现有政策

亚马逊 FSx 增加了新的权限,允许亚马逊描述和写 FSx 入亚马逊 Data Firehose 传送流。

这是必需的,这样用户才能使用 Amazon Data Firehose 查看 FSx 适用于 Windows 文件服务器的文件系统的文件访问审核日志。

2021 年 6 月 8 日

亚马逊 FSx FullAccess-更新现有政策

Amazon FSx 增加了新的权限,允许委托人描述和创建 CloudWatch 日志组、日志流以及将事件写入日志流。

这是必需的,这样委托人才能使用日志查看 Windows 文件服务器文件系统的文件访问审核 CloudWatch 日志。 FSx

2021 年 6 月 8 日

亚马逊 FSx FullAccess-更新现有政策

亚马逊 FSx 增加了新的权限,允许委托人向亚马逊数据 Firehose 描述和写入记录。

这是必需的,这样用户才能使用 Amazon Data Firehose 查看 FSx 适用于 Windows 文件服务器的文件系统的文件访问审核日志。

2021 年 6 月 8 日

亚马逊 FSx ConsoleFullAccess-更新现有政策

Amazon FSx 增加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Logs CloudWatch 日志组。

这是必需的,这样委托人才能在为 Windows 文件服务器文件系统配置文件访问审计时选择现有的 CloudWatch 日志日志组。 FSx

2021 年 6 月 8 日

亚马逊 FSx ConsoleFullAccess-更新现有政策

亚马逊 FSx 增加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Data Firehose 传输流。

这是必需的,这样委托人才能在为 Windows 文件服务器文件系统配置文件访问审计时选择现有的 Fire FSx hose 传送流。

2021 年 6 月 8 日

亚马逊 FSx ConsoleReadOnlyAccess-更新现有政策

Amazon FSx 增加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Logs CloudWatch 日志组。

这是必需的,这样委托人才能查看适用于 Windows 文件服务器的文件系统的现有文件访问审核配置。 FSx

2021 年 6 月 8 日

亚马逊 FSx ConsoleReadOnlyAccess-更新现有政策

亚马逊 FSx 增加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Data Firehose 传输流。

这是必需的,这样委托人才能查看适用于 Windows 文件服务器的文件系统的现有文件访问审核配置。 FSx

2021 年 6 月 8 日

亚马逊 FSx 开始追踪变更

亚马逊 FSx 开始跟踪其 Amazon 托管政策的变更。

2021 年 6 月 8 日