使用 IAM 适用于 Amazon FSX 的资源管理访问控制 - Amazon FSx for Windows File Server
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 IAM 适用于 Amazon FSX 的资源管理访问控制

每个Amazon资源都归某个Amazon账户所有,创建和访问资源的权限由权限策略进行管理。账户管理员可以向附加权限策略。Amazon Identity and Access Management(IAM) 身份 (即:用户、组和角色)。有些服务(例如 Amazon Lambda)还支持向资源附加权限策略。

注意

账户管理员(或管理员用户)是具有管理员权限的用户。有关更多信息,请参阅IAM 用户指南 中的 IAM 最佳实践

在授予权限时,您要决定谁获得权限,获得对哪些资源的权限,以及您允许对这些资源执行的具体操作。

Amazon FSx for Windows File Server 的资源和操作

Amazon FSx for Windows File Server 中,主要资源是文件系统备份。Amazon FSx for Windows File Server 也支持其他资源类型文件共享标签。不过,对于 Amazon FSx,您只能在现有文件系统范围内创建文件共享和标签。文件共享和标签称为子资源

这些资源和子资源具有与其关联的唯一 Amazon 资源名称 (ARN),如下表所示。

资源类型 ARN 格式

文件系统

arn:aws:fsx:region:account-id:file-system/filesystem-id

备份

arn:aws:fsx:region:account-id:backup/backup-id

Amazon FSx 提供一组操作来处理 Amazon FSx 资源。有关可用操作的列表,请参阅Amazon FSx API 参考

了解资源所有权

Amazon 账户对在该账户下创建的资源具有所有权,而无论创建资源的人员是谁。具体而言,资源所有者是对资源创建请求进行身份验证的Amazon委托人实体 (即根账户、IAM 用户或 IAM 角色) 的 账户。以下示例说明了它的工作原理:

  • 如果使用的根账户凭证Amazon帐户创建文件系统,则您的Amazon账户是资源的所有者 (在 Amazon FSx 中,资源就是文件系统)。

  • 如果您在Amazon帐户并向该用户授予创建文件系统的权限,则该用户可以创建文件系统。但是,您的Amazon帐户拥有该文件系统资源。

  • 如果您在Amazon帐户,则能够担任该角色的任何人都可以创建文件系统。您的Amazon帐户拥有该角色所属的文件系统资源。