创建 IAM 角色和策略 - Amazon Transfer Family
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建 IAM 角色和策略

当您创建用户时,您需要做出有关用户访问的多项决定。这些决策包括用户可以访问哪些 Amazon S3 存储桶或 Amazon EFS 文件系统、每个 Amazon S3 存储桶的哪些部分以及文件系统中的哪些文件可以访问,以及用户拥有哪些权限(例如,PUTGET)。

要设置访问权限,您需要创建基于身份的Amazon Identity and Access Management (IAM) 策略和角色来提供访问信息。在此过程中,您为用户提供对作为文件操作目标或源的 Amazon S3 存储桶或 Amazon EFS 文件系统的访问权限。为此,请执行以下简要步骤(稍后将详细介绍):

  1. 为创建 IAM policyAmazon Transfer Family。有关详情,请参见为 Amazon Transfer Family 创建 IAM 角色

  2. 创建 IAM 角色并附加新的 IAM policy。请参阅以下示例策略:

    有关会话策略的信息,请参阅 IAM 用户指南中的会话策略

  3. 在 IAM 角色Amazon Transfer Family和 IAM 角色之间建立信任关系。有关详情,请参见建立信任关系

以下过程介绍如何创建 IAM 策略和角色。

为 Amazon Transfer Family 创建 IAM policy

  1. 访问:https://console.aws.amazon.com/iam/,打开 IAM 控制台。

  2. 在导航窗格中,选择 Policies (策略),然后选择 Create policy (创建策略)

  3. 创建策略页面上,选择 JSON 选项卡。

  4. 在出现的编辑器中,将编辑器的内容替换为要附加到 IAM 角色的 IAM 策略。

    您可以授予读/写访问权限或限制用户访问其主目录。有关更多信息,请参阅以下示例:

  5. 选择 “查看政策” 并为您的策略提供名称和描述,然后选择 “创建策略”。

接下来,您将创建一个 IAM 角色并向该角色附加新的 IAM 策略。

为 Amazon Transfer Family 创建 IAM 角色

  1. 在导航窗格中,选择 Roles (角色),然后选择 Create role (创建角色)

    创建角色页面上,确保选择了Amazon服务

  2. 从服务列表中选择转移,然后选择下一步:权限。这在Amazon Transfer Family和之间建立了信任关系Amazon。

  3. 在 “附加权限策略” 部分中,找到并选择刚才创建的策略,然后选择 “下一步:标签”。

  4. (可选)输入标签的键和值,然后选择下一步:审核

  5. 审核页面上,输入新角色的名称和描述,然后选择创建角色

接下来,在Amazon Transfer Family和之间建立信任关系Amazon。

建立信任关系
注意

在我们的示例中,我们同时使用ArnLikeArnEquals。它们在功能上是相同的,因此您可以在构建策略时使用任何一个。Transfer Family 文档在条件包含通配符ArnLike时使用,ArnEquals用于表示完全匹配的条件。

  1. 在 IAM 控制台中,选择您刚创建的角色。

  2. Summary (摘要) 页面上,选择 Trust relationships (信任关系),然后选择 Edit trust relationship (编辑信任关系)

  3. “编辑信任关系” 编辑器中,确保服务"transfer.amazonaws.com"。访问策略如下所示。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "transfer.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    建议您使用 aws:SourceAccountaws:SourceArn 条件键来防止出现混淆代理人问题。源帐户是服务器的所有者,并且源 ARN 是用户的 ARN。例如:

    "Condition": {
    "StringEquals": {
        "aws:SourceAccount": "account_id"
    },
    "ArnLike": {
        "aws:SourceArn": "arn:aws:transfer:region:account_id:user/*"
    }
}

    如果您希望限制到特定的服务器而不是用户帐户中的任何服务器,也可以使用该ArnLike条件。例如:

    "Condition": {    
    "ArnLike": {
        "aws:SourceArn": "arn:aws:transfer:region:account-id:user/server-id/*"
    }
}
    注意

    在上述示例中,将每个 user input placeholder 替换为您自己的信息。

    有关混乱副手问题的详细信息以及更多示例,请参阅防止跨服务混淆代理

  4. 选择 “更新信任策略” 以更新访问策略。

现在,您已经创建了一个 IAM 角色,Amazon Transfer Family允许代表您调用Amazon服务。您向角色附加您创建的 IAM policy,该策略旨在向用户提供访问权限。在该教程:Amazon Transfer Family 入门部分中,此角色和策略已分配给您的一个或多个用户。

或者,您可以创建会话策略,限制用户只能访问其主目录,如本主题前面所述。有关会话策略的更多信息,请参阅示例会话策略

有关 IAM 角色的更多一般信息,请参阅 I A M 用户指南中的创建角色以委派权限给Amazon服务

要了解有关 Amazon S3 资源基于身份的策略的更多信息,请参阅《Amazon S imple Storage Service 用户指南》中的 Amazon S3 中的身份和访问管理