第 4 步:选择你的安全首选项 - Amazon Snowcone 用户指南
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 4 步:选择你的安全首选项

设置安全性会添加您的权限和加密设置AmazonSnow Family 设备的作用是在传输过程中保护您的数据。

为你的工作设置安全

  1. 加密部分,选择KMS 密钥要使用的。

    • 如果您使用默认值Amazon Key Management Service(Amazon KMS) 关键,选择aws/导出出口(默认值). 当没有定义其他密钥时,这是保护导入和导出作业的默认密钥。

    • 如果您提供自己的服务Amazon KMS关键,选择输入密钥 ARN在中,提供 Amazon 资源名称 (ARN)密钥 ARN框,然后选择。使用此 KMS 密钥. 钥匙 ARN 将被添加到列表中。

  2. 服务访问部分,请执行以下操作之一:

    • 选择创建服务角色授予AmazonSnow Family(Snow Family)代您使用 Amazon S3 和 Amazon Simple Notification Service (Amazon SNS) 的权限。授予角色AmazonSecurity Token Service (AmazonSTS) AssumeRole 信任 Snow 服务

    • 选择添加要使用的现有角色,以指定IAM 角色您需要的,也可以使用默认角色。

      适用于策略名称中,选择要使用的导入策略。

      例 Snowcone 设备的示例策略

      仅导入角色策略示例

      以下是 S3 仅导入角色策略的示例。

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketPolicy", "s3:GetBucketLocation", "s3:ListBucketMultipartUploads", "s3:ListBucket", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts", "s3:PutObjectAcl", "s3:GetObject" ], "Resource": [ "arn:aws:s3:::YourS3BucketARN", "arn:aws:s3:::YourS3BucketARN/*" ] } ] }
      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "importexport.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

      使用服务器端加密对 Amazon S3 存储桶进行加密。

      如果您使用服务器端加密Amazon KMS— 托管密钥 (SSE-KMS) 要对与您的导入任务关联的 Amazon S3 存储桶进行加密,您还必须将以下语句添加到您的 IAM 角色。

      { "Effect": "Allow", "Action": [ "kms:GenerateDataKey","kms:Decrypt" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111" }
      注意

      您可以根据客户帐号和来源 ARN 修改信任关系并限制对此角色的访问权限。请参阅限制对 Snow 角色策略的访问了解如何修改信任关系以限制访问。

  3. 选择 Next(下一步)。如果选择IAM 角色已经定义了受限访问权限,创建任务如果不符合访问条件,过程将失败。

  4. 选择 Allow

  5. 选择 Next(下一步)。