本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AmazonTransfTransfer FamAmazon ily 的管理政策
要向用户、组和角色添加权限,与自己编写策略相比,使用 Amazon 托管策略更简单。创建仅为团队提供所需权限的Amazon Identity and Access Management (IAM) 客户托管式策略需要时间和专业知识。要快速入门,您可以使用我们的 Amazon 托管式策略。这些策略涵盖常见使用案例,可在您的 Amazon Web Services 账户 中使用。有关 Amazon 托管策略的更多信息,请参阅 IAM 用户指南中的Amazon 托管策略。
Amazon 服务负责维护和更新 Amazon 托管策略。您无法更改 Amazon 托管策略中的权限。服务偶尔会向 Amazon 托管式策略添加额外权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新功能或新操作可用时,服务最有可能会更新 Amazon 托管式策略。服务不会从 Amazon 托管式策略中删除权限,因此策略更新不会破坏您的现有权限。
此外,Amazon 还支持跨多种服务的工作职能的托管式策略。例如,ReadOnlyAccess
Amazon托管策略提供对所有Amazon服务和资源的只读访问权限。当服务启动新功能时,Amazon 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的 Amazon 托管策略。
Amazon托管策略: AWSTransferLoggingAccessV3
该AWSTransferLoggingAccessV3
策略授予管理权限,允许将您的 Transfer FamilAmazon y 服务器活动记录到 Amazon CloudWatch Logs。因此,您应该将此策略附加到日志角色。
权限详细信息
此策略包含以下权限Amazon CloudWatch Logs。
-
CreateLogStream
— 授予委托人创建日志流的权限。 -
DescribeLogStreams
— 授予委托人列出日志组日志流的权限。 -
CreateLogGroup
— 授予委托人创建日志组的权限。 -
PutLogEvents
— 授予委托人将一批日志事件上传到日志流。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws-cn:logs:*:*:log-group:/aws/transfer/*" } ] }
Amazon托管策略: AWSTransferConsoleFullAccess
该AWSTransferConsoleFullAccess
策略提供通过Amazon管理控制台对 Transfer Family 的完全访问权限。
权限详细信息
此策略包含以下权限。
-
acm:ListCertificates
— 授予检索证书 Amazon Resource Names (ARN) 以及每个 ARN 的域名列表。 -
ec2:DescribeAddresses
— 授予权限以描述一个或多个弹性 IP 地址。 -
ec2:DescribeAvailabilityZones
— 授予权限以描述可供您使用的一个或多个可用区。 -
ec2:DescribeNetworkInterfaces
— 授予描述一个或多个弹性网络接口的权限。 -
ec2:DescribeSecurityGroups
— 授予权限以描述一个或多个安全组。 -
ec2:DescribeSubnets
— 授予描述一个或多个子网的权限。 -
ec2:DescribeVpcs
— 授予描述一个或多个虚拟私有云 (VPC) 的权限。 -
ec2:DescribeVpcEndpoints
— 授予权限以描述一个或多个 VPC 终端节点。 -
health:DescribeEventAggregates
— 返回每种事件类型(问题、计划的更改和账户通知)的事件数。 -
iam:GetPolicyVersion
— 授予检索有关指定托管策略的版本的信息(包括策略文档)的信息的权限。 -
iam:ListPolicies
— 授予列出所有托管策略的权限。 -
iam:ListRoles
— 授予列出具有指定路径前缀的 IAM 角色的权限。 -
iam:PassRole
— 授予将 IAM 角色传递给 Transfer Family 的权限。有关更多详细信息,请参阅向用户授予将角色传递递递递递递递给的权限Amazon Web Service。 -
route53:ListHostedZones
— 授予获取与当前关联的公有和私有托管区域列表的权限Amazon Web Services 账户。 -
s3:ListAllMyBuckets
— 授予列出该请求的经身份验证的发件人拥有的所有存储桶。 -
transfer:*
— 授予对Transfer Family 资源的访问权限。星号 (*
) 授予对所有资源的访问权限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "transfer.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "acm:ListCertificates", "ec2:DescribeAddresses", "ec2:DescribeAvailabilityZones", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "health:DescribeEventAggregates", "iam:GetPolicyVersion", "iam:ListPolicies", "iam:ListRoles", "route53:ListHostedZones", "s3:ListAllMyBuckets", "transfer:*" ], "Resource": "*" } ] }
Amazon托管策略: AWSTransferFullAccess
此AWSTransferFullAccess
策略提供了对 Transfer Family 服务的完全访问。
权限详细信息
此策略包含以下权限。
-
transfer:*
— 授予访问 Transfer Family 资源的权限。星号 (*
) 授予对所有资源的访问权限。 -
iam:PassRole
— 授予将 IAM 角色传递给 Transfer Family 的权限。有关更多详细信息,请参阅向用户授予将角色传递递递递递递递给的权限Amazon Web Service。 -
ec2:DescribeAddresses
— 授予权限以描述一个或多个弹性 IP 地址。 -
ec2:DescribeNetworkInterfaces
— 授予描述一个或多个网络接口的权限。 -
ec2:DescribeVpcEndpoints
— 授予权限以描述一个或多个 VPC 终端节点。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "transfer:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "transfer.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeVpcEndpoints", "ec2:DescribeNetworkInterfaces", "ec2:DescribeAddresses" ], "Resource": "*" } ] }
Amazon托管策略: AWSTransferReadOnlyAccess
此AWSTransferReadOnlyAccess
策略提供对 Transfer Family 服务的只读访问权限。
权限详细信息
此策略包含以下对 Transfer Family 的权限。
-
DescribeUser
— 授予委托人查看用户描述的权限。 -
DescribeServer
— 授予委托人查看服务器描述的权限。 -
ListUsers
— 授予委托人列出服务器用户的权限。 -
ListServers
— 授予委托人列出账户服务器的权限。 -
TestIdentityProvider
— 向委托人授予权限以测试所配置的身份提供商的设置是否正确。 -
ListTagsForResource
— 授予委托人列出资源标签的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "transfer:DescribeUser", "transfer:DescribeServer", "transfer:ListUsers", "transfer:ListServers", "transfer:TestIdentityProvider", "transfer:ListTagsForResource" ], "Resource": "*" } ] }
Amazon将家庭更新转移到Amazon托管政策
查看有关 Transfer Family 的AmazonAmazon托管式策略更新的详细信息(从该服务开始跟踪这些更改开始)。要获得有关此页面更改的自动提示,请订阅 Amazon Transfer Family 的文档历史记录 页面上的 RSS 源。
更改 | 说明 | 日期 |
---|---|---|
文档更新 |
为每个 Transfer Family 管理的策略添加了章节。 |
2022 年 1 月 27 日 |
AWSTransferReadOnlyAccess – 对现有策略的更新 |
AmazonTransfer Family 添加了新权限以允许读取策略Amazon Managed Microsoft AD。 |
2021 年 9 月 30 日 |
AWSTransferLoggingAccessV3 — 对现有策略的更新 |
|
2021 年 6 月 15 日 |
|
此策略已被 |
2021 年 6 月 15 日 |
AmazonTransfer Family 开 |
AmazonTransfamily 开始跟踪其Amazon托管式策略的更改。 |
2021 年 6 月 15 日 |