Amazon Transfer Famil Amazon y 的托管政策 - Amazon Transfer Family
AWSTransferConsoleFullAccessAWSTransferFullAccessAWSTransferLoggingAccessV3AWSTransferReadOnlyAccess策略更新
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Transfer Famil Amazon y 的托管政策

要向用户、群组和角色添加权限,使用 Amazon 托管策略比自己编写策略要容易得多。创建 Amazon Identity and Access Management (IAM) 客户托管策略仅向您的团队提供他们所需的权限需要时间和专业知识。要快速入门,您可以使用我们的 Amazon 托管策略。这些策略涵盖常见使用案例,可在您的 Amazon Web Services 账户中使用。有关 Amazon 托管策略的更多信息,请参阅《IAM 用户指南》中的Amazon 托管策略。有关所有 Amazon 托管策略的详细列表,请参阅Amazon 托管策略参考指南

Amazon 服务维护和更新 Amazon 托管策略。您无法更改 Amazon 托管策略中的权限。服务偶尔会向 Amazon 托管式策略添加额外权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新功能或新操作可用时,服务最有可能会更新 Amazon 托管式策略。服务不会从 Amazon 托管策略中移除权限,因此策略更新不会破坏您的现有权限。

此外,还 Amazon 支持跨多个服务的工作职能的托管策略。例如,ReadOnlyAccess Amazon 托管策略提供对所有 Amazon 服务和资源的只读访问权限。当服务启动一项新功能时, Amazon 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅《IAM 用户指南》中的适用于工作职能的Amazon 托管式策略

Amazon 托管策略: AWSTransferConsoleFullAccess

AWSTransferConsoleFullAccess政策提供通过 Amazon 管理控制台对 Transfer Family 的完全访问权限。

权限详细信息

该策略包含以下权限。

  • 授予权限以检索证书 ARN 以及每个 ARN 的域名列表

  • 授予权限以描述一个或多个弹性 IP 地址

  • 授予权限以描述可供您使用的一个或多个可用区

  • 授予权限以描述一个或多个网络接口

  • 授予权限以描述一个或多个安全组

  • 授予权限以描述一个或多个子网

  • 授予权限以描述一个或多个虚拟私有网关

  • 授予权限以描述一个或多个 VPC 终端节点

  • 返回每种事件类型的(问题、计划的更改和账户通知)事件数。

  • 授予权限以检索有关指定托管策略的版本的信息,包括策略文档

  • 授予权限以列出所有托管策略

  • 授予权限以列出具有指定路径前缀的 IAM 角色

  • iam:PassRole — 授予将 IAM 角色传递至 Transfer Family 的权限。有关更多详细信息,请参阅向用户授予将角色传递给的权限 Amazon Web Service

  • 授予权限以获取与当前 关联的公有和私有托管区域列表

  • 授予权限以列出该请求的经身份验证的发件人拥有的所有桶

  • transfer:* — 授予对 Transfer Family 资源的访问权限。星号 (*) 授权访问所有资源。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "transfer.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "acm:ListCertificates",
                "ec2:DescribeAddresses",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeVpcEndpoints",
                "health:DescribeEventAggregates",
                "iam:GetPolicyVersion",
                "iam:ListPolicies",
                "iam:ListRoles",
                "route53:ListHostedZones",
                "s3:ListAllMyBuckets",
                "transfer:*"
            ],
            "Resource": "*"
        }
    ]
}

Amazon 托管策略: AWSTransferFullAccess

AWSTransferFullAccess 策略提供对 Transfer Family 服务的完全访问权限。

权限详细信息

该策略包含以下权限。

  • transfer:* — 授予对 Transfer Family 资源的访问权限。星号 (*) 授权访问所有资源。

  • iam:PassRole — 授予将 IAM 角色传递至 Transfer Family 的权限。有关更多详细信息,请参阅向用户授予将角色传递给的权限 Amazon Web Service

  • 授予权限以描述一个或多个弹性 IP 地址

  • 授予权限以描述一个或多个网络接口

  • 授予权限以描述一个或多个 VPC 终端节点

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "transfer:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "transfer.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeAddresses"
            ],
            "Resource": "*"
        }
    ]
}

Amazon 托管策略: AWSTransferLoggingAccessV3

AWSTransferLoggingAccessV3策略授予管理权限,允许将您 Amazon 的 Transfer Family 服务器活动记录到 Amazon CloudWatch Logs 中。因此,您应该将此策略附加至日志记录角色。

权限详细信息

此策略包括以下权限 Amazon CloudWatch Logs。

  • CreateLogStream — 授权主体创建日志流。

  • DescribeLogStreams— 授权主体列出日志组的日志流。

  • CreateLogGroup — 授权主体创建日志流。

  • 授予权限以将一批日志事件上传到指定的日志流

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:CreateLogGroup",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws-cn:logs:*:*:log-group:/aws/transfer/*"
        }
    ]
}

Amazon 托管策略: AWSTransferReadOnlyAccess

AWSTransferReadOnlyAccess 策略提供对 Transfer Family 服务的完全访问权限。

权限详细信息

此策略包含以下权限。

  • DescribeUser — 授权主体查看用户描述。

  • DescribeServer— 授权主体查看服务器描述。

  • ListUsers — 授予主体列出服务器用户。

  • ListServers — 授权主体列出账户服务器。

  • TestIdentityProvider— 授权主体策略配置身份提供程序是否设置得当。

  • 授予列出 Amazon Forecast 资源的标签的权限

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "transfer:DescribeUser",
                "transfer:DescribeServer",
                "transfer:ListUsers",
                "transfer:ListServers",
                "transfer:TestIdentityProvider",
                "transfer:ListTagsForResource"
            ],
            "Resource": "*"
        }
    ]
}

Amazon 将 Family 更新转移到 Amazon 托管政策

查看 Transfer Family Amazon 托管政策自该服务开始跟踪这些变更以来这些更新的详细信息。 Amazon 要获得有关此页面更改的自动提示,请订阅 的文档历史记录 Amazon Transfer Family 页面上的 RSS 源。

更改 描述 日期

文档更新

为每个 Transfer Family 托管策略添加章节。

2022 年 1 月 27 日

AWSTransferReadOnlyAccess – 更新了现有策略

Amazon Transfer Family 添加了允许读取策略的新权限 Amazon Managed Microsoft AD。

2021 年 9 月 30 日

AWSTransferLoggingAccessV3 — 更新现有政策

AWSTransferLoggingAccessV3与标记为服务角色策略的AWSTransferLoggingAccessV2不同。此标记表示它旨在向 Transfer Family Amazon 服务授予权限。没有 函数。

 2021 年 6 月 15 日

已弃用

此策略已被 AWSTransferLoggingAccessV3 取代。

 2021 年 6 月 15 日

Amazon Transfer Family 开始追踪变更

Amazon Transfer Family 开始跟踪其 Amazon 托管政策的变更。

 2021 年 6 月 15 日