AmazonTransfTransfer FamAmazon ily 的管理政策 - Amazon Transfer Family
AWSTransferLoggingAccessV3AWSTransferConsoleFullAccessAWSTransferFullAccessAWSTransferReadOnlyAccess策略更新
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AmazonTransfTransfer FamAmazon ily 的管理政策

要向用户、组和角色添加权限,与自己编写策略相比,使用 Amazon 托管策略更简单。创建仅为团队提供所需权限的Amazon Identity and Access Management (IAM) 客户托管式策略需要时间和专业知识。要快速入门,您可以使用我们的 Amazon 托管式策略。这些策略涵盖常见使用案例,可在您的 Amazon Web Services 账户 中使用。有关 Amazon 托管策略的更多信息,请参阅 IAM 用户指南中的Amazon 托管策略

Amazon 服务负责维护和更新 Amazon 托管策略。您无法更改 Amazon 托管策略中的权限。服务偶尔会向 Amazon 托管式策略添加额外权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新功能或新操作可用时,服务最有可能会更新 Amazon 托管式策略。服务不会从 Amazon 托管式策略中删除权限,因此策略更新不会破坏您的现有权限。

此外,Amazon 还支持跨多种服务的工作职能的托管式策略。例如,ReadOnlyAccessAmazon托管策略提供对所有Amazon服务和资源的只读访问权限。当服务启动新功能时,Amazon 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的 Amazon 托管策略

Amazon托管策略: AWSTransferLoggingAccessV3

AWSTransferLoggingAccessV3策略授予管理权限,允许将您的 Transfer FamilAmazon y 服务器活动记录到 Amazon CloudWatch Logs。因此,您应该将此策略附加到日志角色。

权限详细信息

此策略包含以下权限Amazon CloudWatch Logs。

  • CreateLogStream— 授予委托人创建日志流的权限。

  • DescribeLogStreams— 授予委托人列出日志组日志流的权限。

  • CreateLogGroup— 授予委托人创建日志组的权限。

  • PutLogEvents— 授予委托人将一批日志事件上传到日志流。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:CreateLogGroup",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws-cn:logs:*:*:log-group:/aws/transfer/*"
        }
    ]
}

Amazon托管策略: AWSTransferConsoleFullAccess

AWSTransferConsoleFullAccess策略提供通过Amazon管理控制台对 Transfer Family 的完全访问权限。

权限详细信息

此策略包含以下权限。

  • acm:ListCertificates— 授予检索证书 Amazon Resource Names (ARN) 以及每个 ARN 的域名列表。

  • ec2:DescribeAddresses— 授予权限以描述一个或多个弹性 IP 地址。

  • ec2:DescribeAvailabilityZones— 授予权限以描述可供您使用的一个或多个可用区。

  • ec2:DescribeNetworkInterfaces— 授予描述一个或多个弹性网络接口的权限。

  • ec2:DescribeSecurityGroups— 授予权限以描述一个或多个安全组。

  • ec2:DescribeSubnets— 授予描述一个或多个子网的权限。

  • ec2:DescribeVpcs— 授予描述一个或多个虚拟私有云 (VPC) 的权限。

  • ec2:DescribeVpcEndpoints— 授予权限以描述一个或多个 VPC 终端节点。

  • health:DescribeEventAggregates— 返回每种事件类型(问题、计划的更改和账户通知)的事件数。

  • iam:GetPolicyVersion— 授予检索有关指定托管策略的版本的信息(包括策略文档)的信息的权限。

  • iam:ListPolicies— 授予列出所有托管策略的权限。

  • iam:ListRoles— 授予列出具有指定路径前缀的 IAM 角色的权限。

  • iam:PassRole— 授予将 IAM 角色传递给 Transfer Family 的权限。有关更多详细信息,请参阅向用户授予将角色传递递递递递递递给的权限Amazon Web Service

  • route53:ListHostedZones— 授予获取与当前关联的公有和私有托管区域列表的权限Amazon Web Services 账户。

  • s3:ListAllMyBuckets— 授予列出该请求的经身份验证的发件人拥有的所有存储桶。

  • transfer:*— 授予对Transfer Family 资源的访问权限。星号 (*) 授予对所有资源的访问权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "transfer.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "acm:ListCertificates",
                "ec2:DescribeAddresses",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeVpcEndpoints",
                "health:DescribeEventAggregates",
                "iam:GetPolicyVersion",
                "iam:ListPolicies",
                "iam:ListRoles",
                "route53:ListHostedZones",
                "s3:ListAllMyBuckets",
                "transfer:*"
            ],
            "Resource": "*"
        }
    ]
}

Amazon托管策略: AWSTransferFullAccess

AWSTransferFullAccess策略提供了对 Transfer Family 服务的完全访问。

权限详细信息

此策略包含以下权限。

  • transfer:*— 授予访问 Transfer Family 资源的权限。星号 (*) 授予对所有资源的访问权限。

  • iam:PassRole— 授予将 IAM 角色传递给 Transfer Family 的权限。有关更多详细信息,请参阅向用户授予将角色传递递递递递递递给的权限Amazon Web Service

  • ec2:DescribeAddresses— 授予权限以描述一个或多个弹性 IP 地址。

  • ec2:DescribeNetworkInterfaces— 授予描述一个或多个网络接口的权限。

  • ec2:DescribeVpcEndpoints— 授予权限以描述一个或多个 VPC 终端节点。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "transfer:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "transfer.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeAddresses"
            ],
            "Resource": "*"
        }
    ]
}

Amazon托管策略: AWSTransferReadOnlyAccess

AWSTransferReadOnlyAccess策略提供对 Transfer Family 服务的只读访问权限。

权限详细信息

此策略包含以下对 Transfer Family 的权限。

  • DescribeUser— 授予委托人查看用户描述的权限。

  • DescribeServer— 授予委托人查看服务器描述的权限。

  • ListUsers— 授予委托人列出服务器用户的权限。

  • ListServers— 授予委托人列出账户服务器的权限。

  • TestIdentityProvider— 向委托人授予权限以测试所配置的身份提供商的设置是否正确。

  • ListTagsForResource— 授予委托人列出资源标签的权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "transfer:DescribeUser",
                "transfer:DescribeServer",
                "transfer:ListUsers",
                "transfer:ListServers",
                "transfer:TestIdentityProvider",
                "transfer:ListTagsForResource"
            ],
            "Resource": "*"
        }
    ]
}

Amazon将家庭更新转移到Amazon托管政策

查看有关 Transfer Family 的AmazonAmazon托管式策略更新的详细信息(从该服务开始跟踪这些更改开始)。要获得有关此页面更改的自动提示,请订阅 Amazon Transfer Family 的文档历史记录 页面上的 RSS 源。

更改 说明 日期

文档更新

为每个 Transfer Family 管理的策略添加了章节。

2022 年 1 月 27 日

AWSTransferReadOnlyAccess – 对现有策略的更新

AmazonTransfer Family 添加了新权限以允许读取策略Amazon Managed Microsoft AD。

2021 年 9 月 30 日

AWSTransferLoggingAccessV3 — 对现有策略的更新

AWSTransferLoggingAccessV3不同之处AWSTransferLoggingAccessV2在于它被标记为服务角色策略。此标记表示它旨在向 Transfer FamilyAmazon 服务授予权限。没有功能变化。

 2021 年 6 月 15 日

AWSTransferLoggingAccessV2— 已过时

此策略已被 AWSTransferLoggingAccessV3 取代。

 2021 年 6 月 15 日

AmazonTransfer Family 开

AmazonTransfamily 开始跟踪其Amazon托管式策略的更改。

 2021 年 6 月 15 日