利用 IAM 对 Amazon FSx 进行资源管理访问控制 - Amazon FSx for Windows File Server
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

利用 IAM 对 Amazon FSx 进行资源管理访问控制

每个 Amazon 资源都归某个 Amazon Web Services 账户 账户所有,创建或访问资源的权限由权限策略进行管理。账户管理员可以向Amazon Identity and Access Management(IAM) 身份 (即:用户、组和角色)。有些服务(例如 Amazon Lambda)还支持向资源附加权限策略。

注意

账户管理员(或管理员用户)是具有管理员权限的用户。有关更多信息,请参阅 IAM 用户指南中的 IAM 最佳实践

在授予权限时,您要决定谁获得权限,获得对哪些资源的权限,以及您允许对这些资源执行的具体操作。

Amazon FSx for Windows File Server 资源和操作

在 Amazon FSx for Windows File Server 中,主要资源是文件系统. Amazon FSx for Windows File Server 还支持其他子资源类型。备份. 您只能在现有文件系统范围内创建备份,或者通过复制现有备份来创建备份。

这些资源和子资源具有与其关联的唯一 Amazon Resource Name (ARN),如下表所示。

资源类型 ARN 格式

文件系统

arn:aws:fsx:region:account-id:file-system/filesystem-id

备份

arn:aws:fsx:region:account-id:backup/backup-id

Amazon FSx 提供一组操作用来处理 Amazon FSx 资源。有关可用操作的列表,请参阅Amazon FSx API 参考.

了解资源所有权

Amazon账户对在该账户下创建的资源具有所有权,而无论创建资源的人员是谁。具体而言,资源所有者是对资源创建请求进行身份验证的委托人实体(即根账户、IAM 用户或 IAM 角色)的Amazon账户。以下示例说明了它的工作原理:

  • 如果使用您的根账户凭证Amazon创建文件系统的账户,Amazon账户就是该资源的所有者 (在 Amazon FSx 中,资源就是文件系统)。

  • 如果在中创建 IAM 用户Amazon账户并向该用户授予创建文件系统的权限,则该用户可以创建文件系统。但是,您的Amazon账户 (即该用户所属的账户) 拥有该文件系统资源。

  • 如果在中创建 IAM 角色Amazon具有文件系统创建权限的账户,则能够担任该角色的任何人都可以创建文件系统。您的Amazon账户 (即角色所属的账户) 拥有该文件系统资源。