第 4 步:选择您的安全偏好 - Amazon Snowball Edge 开发人员指南
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 4 步:选择您的安全偏好

设置安全性可为您的Amazon Snow Family 设备任务添加权限和加密设置,以帮助保护传输中的数据。

为您的工作设置安全性

  1. 加密部分中,选择要使用的 KMS 密钥

    • 如果你想使用默认Amazon Key Management Service (Amazon KMS) 键,请选择 aws/importexport(默认)。这是在未定义其他密钥时保护您的导入和导出任务的默认密钥。

    • 如果您想提供自己的Amazon KMS密钥,请选择输入密钥 ARN,在密钥 ARN 框中提供亚马逊资源名称 (ARN),然后选择使用此 KMS 密钥。密钥 ARN 将添加到列表中。

  2. 在 Ser vice(服务访问权限)部分中,执行下列操作之一:

    • 选择创建服务角色,以授予 SAmazon nowon Familication Service (Amazon SNS) 的权限,以代您使用 Amazon S3 和Amazon SNS 该角色向 Snow 服务授予Amazon安全令牌服务 (AmazonSTS) AssumeRole 信任

    • 选择添加要使用的现有角色,指定所需的 IAM 角色,或者您可以使用默认角色。

      策略名称中,选择要使用的导入策略。

      在访问策略中添加Condition对象aws:SourceAccount和/或aws:SourceARN元素以限制 Snow 服务,使其仅充当一个Amazon账号。或者将两者都添加为最严格的限制。

      要限制 Snow 服务,使其仅充当一个或多个账号,请在访问策略中添加一个aws:SourceAccount元素,并将账户 ID 作为值。

      要限制 Snow 服务使其仅充当一个或多个 ARN,请在访问策略中添加一个aws:SourceArn元素并将 ARN 作为值。

    例 限制 Snow 服务操作的Condition异议

    通过 ARN 和账户 ID 限制 Snow 服务操作的示例。

    "Condition": { "StringEquals": { "aws:SourceAccount": "AWS_ACCOUNT_ID" } "ArnLike": { "aws:SourceArn": "arn:aws:snowball:REGION:AWS_ACCOUNT_ID:RESOURCE_ID" } }

    以下显示了策略中包含的这些条件。

    { "Version": "2012-10-17", "Id": "__default_policy_ID", "Statement": [ { "Sid": "__default_statement_ID", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "SNS:GetTopicAttributes", "SNS:SetTopicAttributes", "SNS:AddPermission", "SNS:RemovePermission", "SNS:DeleteTopic", "SNS:Subscribe", "SNS:ListSubscriptionsByTopic", "SNS:Publish" ], "Resource": "arn:aws:sns:us-east-1:123456789012:my-sns-topic", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": "arn:aws:sns:us-east-1:555555555555:my-sns-topic" } } } ] }

    例 Snowball Edge 设备的示例策略

    以下是 Amazon S3 仅导入角色策略的示例。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketPolicy", "s3:GetBucketLocation", "s3:ListBucketMultipartUploads", "s3:ListBucket", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts", "s3:PutObjectAcl", "s3:GetObject" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET1", "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*" ] } ] }
    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "importexport.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

    以下是 Amazon S3 导出角色策略的示例。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:GetBucketPolicy" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET3", "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*" ] } ] }
    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "importexport.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
    注意

    您可以修改信任关系并根据客户账号和来源 ARN 限制对该角色的访问权限。有关如何修改信任关系以限制访问的信息,请参阅限制对 Snow 角色策略的访问。

  3. 选择 Next(下一步)。如果选定的 IAM 角色定义了受限访问权限,则如果不满足访问标准,则创建Job 过程将失败。

  4. 选择 Allow

  5. 选择 Next(下一步)