本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
利用 IAM 对 Amazon FSx 进行资源管理访问控制
每个 Amazon 资源都归某个 Amazon Web Services 账户 账户所有,创建或访问资源的权限由权限策略进行管理。账户管理员可以向Amazon Identity and Access Management(IAM) 身份 (即:用户、组和角色)。有些服务(例如 Amazon Lambda)还支持向资源附加权限策略。
账户管理员(或管理员用户)是具有管理员权限的用户。有关更多信息,请参阅 IAM 用户指南中的 IAM 最佳实践。
在授予权限时,您要决定谁获得权限,获得对哪些资源的权限,以及您允许对这些资源执行的具体操作。
主题
Amazon FSx for Windows File Server 资源和操作
在 Amazon FSx for Windows File Server 中,主要资源是文件系统. Amazon FSx for Windows File Server 还支持其他子资源类型。备份. 您只能在现有文件系统范围内创建备份,或者通过复制现有备份来创建备份。
这些资源和子资源具有与其关联的唯一 Amazon Resource Name (ARN),如下表所示。
资源类型 | ARN 格式 |
---|---|
文件系统 |
arn:aws:fsx: |
备份 |
arn:aws:fsx: |
Amazon FSx 提供一组操作用来处理 Amazon FSx 资源。有关可用操作的列表,请参阅Amazon FSx API 参考.
了解资源所有权
Amazon账户对在该账户下创建的资源具有所有权,而无论创建资源的人员是谁。具体而言,资源所有者是对资源创建请求进行身份验证的委托人实体(即根账户、IAM 用户或 IAM 角色)的Amazon账户。以下示例说明了它的工作原理:
-
如果使用您的根账户凭证Amazon创建文件系统的账户,Amazon账户就是该资源的所有者 (在 Amazon FSx 中,资源就是文件系统)。
-
如果在中创建 IAM 用户Amazon账户并向该用户授予创建文件系统的权限,则该用户可以创建文件系统。但是,您的Amazon账户 (即该用户所属的账户) 拥有该文件系统资源。
-
如果在中创建 IAM 角色Amazon具有文件系统创建权限的账户,则能够担任该角色的任何人都可以创建文件系统。您的Amazon账户 (即角色所属的账户) 拥有该文件系统资源。