管理访问 Amazon FSx 资源 - Amazon FSx for Windows File Server
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

管理访问 Amazon FSx 资源

权限策略 规定谁可以访问哪些内容。下一节介绍创建权限策略时的可用选项。

注意

本节介绍如何在 Amazon FSx for Windows File Server 范围内使用 IAM。这里不提供有关 IAM 服务的详细信息。有关完整的IAM文档,请参阅 什么是IAM?IAM 用户指南. 有关 IAM 策略语法和说明的信息,请参阅 IAM 用户指南 中的 AWS IAM 策略参考。

附加到 IAM 身份的策略称为基于身份的策略(IAM 策略),而附加到资源的策略称为基于资源的的策略。Amazon FSx for Windows File Server 仅支持基于身份的策略(IAM 策略)。

Amazon FSx API权限: 操作、资源和条件参考

在设置访问控制和编写可附加到IAM身份的权限策略(基于身份的策略)时,您可以使用下列 作为参考。该表包含每个 Amazon FSx API 操作、您可授予执行权限的对应操作以及您可授予权限的 AWS 资源。您可以在策略的 Action 字段中指定这些操作,并在策略的 Resource 字段中指定资源值。

您可以在 Amazon FSx 策略中使用 AWS 范围的条件键来表达条件。有关 AWS 范围内的键的完整列表,请参阅 https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys 中的IAM 用户指南可用键

要指定操作,请在 API 操作名称之前使用 fsx: 前缀 (例如,fsx:CreateFileSystem)。每个操作适用于单个 Amazon FSx 文件系统,全部 Amazon FSx 由AWS帐户拥有的文件系统、单个备份或AWS帐户拥有的所有备份。

Amazon FSx API 和所需的操作权限
Amazon FSx API 操作 所需权限(API 操作) Resource

CreateFileSystem

fsx:*

ds:DescribeDirectories

kms:CreateGrant

kms:DescribeKey

arn:aws:fsx:region:account-id:file-system/*

CreateBackup

elasticfilesystem:CreateMountTarget

ec2:DescribeSubnets

ec2:DescribeNetworkInterfaces

ec2:CreateNetworkInterface

arn:aws:fsx:region:account-id:backup/*

arn:aws:fsx:region:account-id:file-system/*

arn:aws:fsx:region:account-id:file-system/filesystem-id

创建文件系统从备份

fsx:CreateFileSystemFromBackup

arn:aws:fsx:region:account-id:file-system/*

arn:aws:fsx:region:account-id:backup/*

arn:aws:fsx:region:account-id:backup/backup-id

DeleteFileSystem

fsx:DeleteFileSystem

arn:aws:fsx:region:account-id:file-system/*

arn:aws:fsx:region:account-id:file-system/filesystem-id

DeleteBackup

fsx:DeleteBackup

arn:aws:fsx:region:account-id:backup/*

arn:aws:fsx:region:account-id:backup/backup-id

描述文件系统

fsx:DescribeFileSystems

不适用

描述备份

fsx:DescribeBackups

不适用

更新文件系统

fsx:UpdateFileSystem

arn:aws:fsx:region:account-id:file-system/*

arn:aws:fsx:region:account-id:file-system/filesystem-id

ListTagsForResource

fsx:ListTagsForResource

arn:aws:fsx:region:account-id:file-system/*

arn:aws:fsx:region:account-id:file-system/filesystem-id

arn:aws:fsx:region:account-id:backup/*

arn:aws:fsx:region:account-id:backup/backup-id

TagResource

fsx:TagResource

arn:aws:fsx:region:account-id:file-system/*

arn:aws:fsx:region:account-id:file-system/filesystem-id

arn:aws:fsx:region:account-id:backup/*

arn:aws:fsx:region:account-id:backup/backup-id

UntagResource

fsx:UntagResource

arn:aws:fsx:region:account-id:file-system/*

arn:aws:fsx:region:account-id:file-system/filesystem-id

arn:aws:fsx:region:account-id:backup/*

arn:aws:fsx:region:account-id:backup/backup-id