本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建 IAM 角色和策略
当您创建用户时,您需要做出有关用户访问的多项决定。这些决策包括用户可以访问哪些 Amazon S3 存储桶或 Amazon EFS 文件系统、每个 Amazon S3 存储桶的哪些部分以及文件系统中的哪些文件可以访问,以及用户拥有哪些权限(例如,PUT
或GET
)。
要设置访问权限,您需要创建基于身份的Amazon Identity and Access Management (IAM) 策略和角色来提供访问信息。在此过程中,您为用户提供对作为文件操作目标或源的 Amazon S3 存储桶或 Amazon EFS 文件系统的访问权限。为此,请执行以下简要步骤(稍后将详细介绍):
-
为创建 IAM policyAmazon Transfer Family。有关详情,请参见为 Amazon Transfer Family 创建 IAM 角色。
-
创建 IAM 角色并附加新的 IAM policy。请参阅以下示例策略:
有关会话策略的信息,请参阅 IAM 用户指南中的会话策略。
-
在 IAM 角色Amazon Transfer Family和 IAM 角色之间建立信任关系。有关详情,请参见建立信任关系。
以下过程介绍如何创建 IAM 策略和角色。
为 Amazon Transfer Family 创建 IAM policy
-
访问:https://console.aws.amazon.com/iam/
,打开 IAM 控制台。 -
在导航窗格中,选择 Policies (策略),然后选择 Create policy (创建策略)。
-
在创建策略页面上,选择 JSON 选项卡。
-
在出现的编辑器中,将编辑器的内容替换为要附加到 IAM 角色的 IAM 策略。
您可以授予读/写访问权限或限制用户访问其主目录。有关更多信息,请参阅以下示例:
-
选择 “查看政策” 并为您的策略提供名称和描述,然后选择 “创建策略”。
接下来,您将创建一个 IAM 角色并向该角色附加新的 IAM 策略。
为 Amazon Transfer Family 创建 IAM 角色
-
在导航窗格中,选择 Roles (角色),然后选择 Create role (创建角色)。
在创建角色页面上,确保选择了Amazon服务。
-
从服务列表中选择转移,然后选择下一步:权限。这在Amazon Transfer Family和之间建立了信任关系Amazon。
-
在 “附加权限策略” 部分中,找到并选择刚才创建的策略,然后选择 “下一步:标签”。
-
(可选)输入标签的键和值,然后选择下一步:审核。
-
在审核页面上,输入新角色的名称和描述,然后选择创建角色。
接下来,在Amazon Transfer Family和之间建立信任关系Amazon。
建立信任关系
在我们的示例中,我们同时使用ArnLike
和ArnEquals
。它们在功能上是相同的,因此您可以在构建策略时使用任何一个。Transfer Family 文档在条件包含通配符ArnLike
时使用,ArnEquals
用于表示完全匹配的条件。
-
在 IAM 控制台中,选择您刚创建的角色。
-
在 Summary (摘要) 页面上,选择 Trust relationships (信任关系),然后选择 Edit trust relationship (编辑信任关系)。
-
在 “编辑信任关系” 编辑器中,确保服务为
"transfer.amazonaws.com"
。访问策略如下所示。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "transfer.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
建议您使用
aws:SourceAccount
和aws:SourceArn
条件键来防止出现混淆代理人问题。源帐户是服务器的所有者,并且源 ARN 是用户的 ARN。例如:"Condition": { "StringEquals": { "aws:SourceAccount": "
account_id
" }, "ArnLike": { "aws:SourceArn": "arn:aws:transfer:region
:account_id
:user/*" } }如果您希望限制到特定的服务器而不是用户帐户中的任何服务器,也可以使用该
ArnLike
条件。例如:"Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:transfer:
region
:account-id
:user/server-id
/*" } }注意 在上述示例中,将每个
user input placeholder
替换为您自己的信息。有关混乱副手问题的详细信息以及更多示例,请参阅防止跨服务混淆代理。
-
选择 “更新信任策略” 以更新访问策略。
现在,您已经创建了一个 IAM 角色,Amazon Transfer Family允许代表您调用Amazon服务。您向角色附加您创建的 IAM policy,该策略旨在向用户提供访问权限。在该教程:Amazon Transfer Family 入门部分中,此角色和策略已分配给您的一个或多个用户。
或者,您可以创建会话策略,限制用户只能访问其主目录,如本主题前面所述。有关会话策略的更多信息,请参阅示例会话策略。
有关 IAM 角色的更多一般信息,请参阅 I A M 用户指南中的创建角色以委派权限给Amazon服务。
要了解有关 Amazon S3 资源基于身份的策略的更多信息,请参阅《Amazon S imple Storage Service 用户指南》中的 Amazon S3 中的身份和访问管理。