AmazonAmazon FSx 的托管策略 - Amazon FSx for Windows File Server
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AmazonAmazon FSx 的托管策略

要将权限添加到用户、组和角色,更容易使用Amazon托管策略而不是自己编写策略。创建仅为团队提供所需权限的 IAM 客户托管策略需要时间和专业知识。要快速入门,您可以使用Amazon托管策略。这些策略涵盖了常见的使用案例,可以在Amazonaccount. 有关 的更多信息Amazon托管策略,请参阅Amazon托管策略中的IAM 用户指南

Amazon服务维护和更新Amazon托管策略。您无法更改Amazon托管策略。服务偶尔会将其他权限添加到Amazon托管策略来支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。服务最有可能更新Amazon托管策略,当启动新功能或新操作可用时。服务不会从Amazon托管策略,因此策略更新不会破坏您的现有权限。

此外,Amazon支持跨越多个服务的工作职能的托管策略。例如,ReadOnlyAccess Amazon托管策略提供对所有Amazon服务和资源. 当服务启动新功能时,Amazon为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅Amazon工作职能的 托管策略中的IAM 用户指南

Amazon托管策略:卓越亚马逊服务政策

您无法将卓越亚马逊服务策略附加到您的 IAM 实体。此策略附加到一个与服务相关的角色,该角色允许 Amazon FSX 管理Amazon代表您的资源。有关更多信息,请参阅 对 Amazon FSx 使用服务相关角色

此策略授予管理权限,允许 Amazon FSX 管理Amazon代表用户返回。

权限详细信息

此策略包含以下权限。

  • cloudwatch— 允许 Amazon FSx 将指标数据点发布到 CloudWatch。

  • ds— 允许 Amazon FSX 查看、授权和取消授权Amazon Directory Service目录。

  • ec2— 允许 Amazon FSx 执行以下操作:

    • 查看、创建和取消与 Amazon FSX 文件系统关联的网络接口的关联。

    • 查看与 Amazon FSx 文件系统相关联的一个或多个弹性 IP 地址。

    • 查看与 Amazon FSX 文件系统关联的 Amazon VPC、安全组和子网。

    • 创建权限对于Amazon-授权用户在网络接口上执行特定操作。

  • route53— 允许 Amazon FSx 将 Amazon VPC 与私有托管区域相关联。

  • logs— 允许亚马逊 FSX 描述和写入 CloudWatch Logs 流。这让用户能够将 Amazon FSx the Windows File Server 文件系统的文件访问审核日志发送到 CloudWatch Logs 流。

  • firehose— 允许 Amazon FSx 描述和写入 Amazon Kinesis Data Firehose 传输流。这样,用户就可以将 Amazon FSx 适用 Windows File Server 文件系统的文件访问审核日志发布到 Amazon Kinesis Data Firehose 交付流。

{ "Version": "2012-10-17", "Statement": [ { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "ds:AuthorizeApplication", "ds:GetAuthorizedApplicationDetails", "ds:UnauthorizeApplication", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DescribeAddresses", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DisassociateAddress", "route53:AssociateVPCWithHostedZone" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*" }, { "Effect": "Allow", "Action": [ "firehose:DescribeDeliveryStream", "firehose:PutRecord", "firehose:PutRecordBatch" ], "Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*" } ] }

Amazon托管策略:卓越亚马逊完全访问权限

您可以将卓越亚马逊全面访问权限附加到您的 IAM 实体。Amazon FSx 还将此策略附加到允许 Amazon FSx 代表您执行操作的服务角色。

提供对 Amazon FSX 的完全访问权限,并访问相关Amazon服务。

权限详细信息

此策略包含以下权限。

  • fsx— 允许委托人执行所有 Amazon FSX 操作的完全访问权限。

  • ds— 允许委托人查看有关Amazon Directory Service目录。

  • iam— 允许代表用户创建 Amazon FSX 服务链接角色的原则。这是必需的,以便亚马逊 FSX 可以管理Amazon资源代表用户。

  • logs— 允许承担者创建日志组、日志流以及将事件写入日志流。这是必需的,以便用户可以通过将审核访问日志发送到 CloudWatch Logs 日志来监视 Amazon FSX 的 Windows 文件服务器文件系统访问权限。

  • firehose— 允许委托人将记录写入 Amazon Kinesis Data Firehose。这是必需的,以便用户可以通过将审核访问日志发送到 Kinesis Data Firehose 来监视 Amazon FSX 的 Windows 文件服务器文件系统访问。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:DescribeDirectories", "fsx:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "fsx.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "s3.data-source.lustre.fsx.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/fsx/*:log-group:*" ] }, { "Effect": "Allow", "Action": [ "firehose:PutRecord" ], "Resource": [ "arn:aws:firehose:*:*:deliverystream/aws-fsx-*" ] } ] }

Amazon托管策略:卓越亚马逊控制台完全访问权限

您可以挂载AmazonFSxConsoleFullAccess策略添加到您的 IAM 身份。

此策略授予管理权限,允许对 Amazon FSX 的完全访问权限和访问相关Amazon服务通过Amazon Web Services Management Console。

权限详细信息

此策略包含以下权限。

  • fsx— 允许委托人在 Amazon FSX 管理控制台中执行所有操作。

  • cloudwatch— 允许委托人在亚马逊 FSX 管理控制台中查看 CloudWatch 警报。

  • ds— 允许委托人列出有关Amazon Directory Service目录。

  • ec2— 允许委托人列出网络接口、安全组、子网以及与 Amazon FSX 文件系统关联的 VPC。

  • kms— 允许委托人列出Amazon Key Management Service键。

  • s3— 允许委托人列出 Amazon S3 存储桶中的部分或全部对象(最多 1000 个)。

  • iam— 授予创建允许 Amazon FSX 代表用户执行操作的服务链接角色的权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "ds:DescribeDirectories", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "firehose:ListDeliveryStreams", "fsx:*", "kms:ListAliases", "logs:DescribeLogGroups", "s3:ListBucket" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "fsx.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "s3.data-source.lustre.fsx.amazonaws.com" ] } } } ] }

Amazon托管策略:卓越亚马逊控制台只读访问

您可以挂载AmazonFSxConsoleReadOnlyAccess策略添加到您的 IAM 身份。

此策略授予只读权限以针对 Amazon FSx 和相关的Amazon服务,以便用户可以在Amazon Web Services Management Console。

权限详细信息

此策略包含以下权限。

  • fsx— 允许委托人在 Amazon FSX 管理控制台中查看有关 Amazon FSX 文件系统的信息,包括所有标签。

  • cloudwatch— 允许委托人在亚马逊 FSX 管理控制台中查看 CloudWatch 警报。

  • ds— 允许委托人查看有关Amazon Directory Service目录中 FSx 目录。

  • ec2— 允许委托人在 Amazon FSX 管理控制台中查看与 Amazon FSX 文件系统相关联的网络接口、安全组、子网以及 VPC。

  • kms— 允许委托人查看Amazon Key Management Service密 FSx。

  • log— 允许委托人描述与提出请求的账户关联的 Amazon CloudWatch Logs 组。这是必需的,以便委托人能够查看 Amazon FSx to Windows File Server 文件系统的现有文件访问审核配置。

  • firehose— 允许委托人描述与提出请求的账户关联的 Amazon Kinesis Data Firehose 传送流。这是必需的,以便委托人能够查看 Amazon FSx to Windows File Server 文件系统的现有文件访问审核配置。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "ds:DescribeDirectories", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "firehose:ListDeliveryStreams", "fsx:Describe*", "fsx:ListTagsForResource", "kms:DescribeKey", "logs:DescribeLogGroups" ], "Resource": "*" } ] }

Amazon FSx 更新到Amazon托管策略

查看有关更新的详细信息Amazon托管策略,因为此服务开始跟踪这些更改。如需有关此页面更改的自动警报,请在 Amazon FSx 上订阅 RSS 源文档历史记录页.

更改 说明 日期

卓越亚马逊服务政策— 更新到现有策略

亚马逊 FSX 添加了新的权限,允许亚马逊 FSX 描述和写入 CloudWatch Logs 流。

这是必需的,以便用户可以使用 CloudWatch 日志查看适用于 Windows 文件服务器文件系统的 Amazon FSX 的文件访问审核日志。

2021 年 6 月 8 日

卓越亚马逊服务政策— 更新到现有策略

亚马逊 FSX 添加了新的权限,允许亚马逊 FSX 描述和写入 Amazon Kinesis Data Firehose 交付流。

这是必需的,以便用户能够使用 Amazon Kinesis Data Firehose 查看 Amazon FSx for Windows File Server 文件系统的文件访问审核日志。

2021 年 6 月 8 日

卓越亚马逊完全访问权限— 更新到现有策略

Amazon FSX 添加了新的权限,允许委托人描述和创建 CloudWatch Logs 组、日志流以及将事件写入日志流。

这是必需的,以便委托人可以使用 CloudWatch 日志查看适用于 Windows 文件服务器文件系统的 Amazon FSX 的文件访问审核日志。

2021 年 6 月 8 日

卓越亚马逊完全访问权限— 更新到现有策略

Amazon FSX 添加了新的权限,允许委托人描述和写入 Amazon Kinesis Data Firehose 的记录。

这是必需的,以便用户能够使用 Amazon Kinesis Data Firehose 查看 Amazon FSx for Windows File Server 文件系统的文件访问审核日志。

2021 年 6 月 8 日

卓越亚马逊控制台完全访问权限— 更新到现有策略

Amazon FSX 添加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon CloudWatch Logs 组。

这是必需的,以便委托人在配置 Amazon FSx 适用于 Windows File Server 文件系统的文件访问审核时可以选择现有 CloudWatch Logs 日志组。

2021 年 6 月 8 日

卓越亚马逊控制台完全访问权限— 更新到现有策略

Amazon FSX 添加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Kinesis Data Firehose 传送流。

这是必需的,以便委托人在配置 Amazon FSx 适用 Windows File Server 文件系统的文件访问审核时可以选择现有 Kinesis Data Firehose 传递流。

2021 年 6 月 8 日

卓越亚马逊控制台只读访问— 更新到现有策略

Amazon FSX 添加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon CloudWatch Logs 组。

这是必需的,以便委托人能够查看 Amazon FSx to Windows File Server 文件系统的现有文件访问审核配置。

2021 年 6 月 8 日

卓越亚马逊控制台只读访问— 更新到现有策略

Amazon FSX 添加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Kinesis Data Firehose 传送流。

这是必需的,以便委托人能够查看 Amazon FSx to Windows File Server 文件系统的现有文件访问审核配置。

2021 年 6 月 8 日

亚马逊 FSX 开始追踪更改

亚马逊 FSX 开始跟踪其Amazon托管策略。

2021 年 6 月 8 日