AWS verwaltete Richtlinien für AWS DataSync - AWS DataSync
AWSDataSyncReadOnlyAccessAWSDataSyncFullAccessAWSDataSyncServiceRolePolicyRichtlinienaktualisierungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS verwaltete Richtlinien für AWS DataSync

Um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen, ist es einfacher, AWS verwaltete Richtlinien zu verwenden, als Richtlinien selbst zu schreiben. Es erfordert Zeit und Fachwissen, um von Kunden verwaltete IAM-Richtlinien zu erstellen, die Ihrem Team nur die benötigten Berechtigungen bieten. Um schnell loszulegen, können Sie unsere AWS verwalteten Richtlinien verwenden. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS-Konto verfügbar. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie im IAM-Benutzerhandbuch unter AWS Verwaltete Richtlinien.

AWS-Services verwalten und aktualisieren Sie AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Services fügen einer von AWS verwalteten Richtlinien gelegentlich zusätzliche Berechtigungen hinzu, um neue Features zu unterstützen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Services aktualisieren eine von AWS verwaltete Richtlinie am ehesten, ein neues Feature gestartet wird oder neue Vorgänge verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.

AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die ReadOnlyAccess AWS verwaltete Richtlinie bietet beispielsweise nur Lesezugriff auf alle Ressourcen AWS-Services . Wenn ein Dienst eine neue Funktion startet, werden nur Leseberechtigungen für neue Operationen und Ressourcen AWS hinzugefügt. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie in Verwaltete AWS -Richtlinien für Auftragsfunktionen im IAM-Leitfaden.

AWS verwaltete Richtlinie: AWSDataSyncReadOnlyAccess

Sie können die AWSDataSyncReadOnlyAccess-Richtlinie an Ihre IAM-Identitäten anfügen.

Diese Richtlinie gewährt nur Leseberechtigungen für. DataSync

JSON
{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "DataSyncReadOnlyAccessPermissions",
        "Effect": "Allow",
        "Action": [
            "datasync:Describe*",
            "datasync:List*",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "elasticfilesystem:DescribeFileSystems",
            "elasticfilesystem:DescribeMountTargets",
            "fsx:DescribeFileSystems",
            "iam:GetRole",
            "iam:ListRoles",
            "logs:DescribeLogGroups",
            "logs:DescribeResourcePolicies",
            "s3:ListAllMyBuckets",
            "s3:ListBucket"
        ],
        "Resource": "*"
    }]
}

AWS verwaltete Richtlinie: AWSDataSyncFullAccess

Sie können die AWSDataSyncFullAccess-Richtlinie an Ihre IAM-Identitäten anfügen.

Diese Richtlinie gewährt Administratorberechtigungen für den Dienst DataSync und ist für den AWS Management Console Zugriff darauf erforderlich. AWSDataSyncFullAccessbietet vollen Zugriff auf DataSync API-Operationen und die Operationen, die mit verwandten Ressourcen interagieren (wie Amazon S3 S3-Buckets, Amazon EFS-Dateisysteme, AWS KMS Schlüssel und Secrets Manager Manager-Geheimnisse). Die Richtlinie gewährt Amazon auch Berechtigungen CloudWatch, einschließlich der Erstellung von Protokollgruppen und der Erstellung oder Aktualisierung einer Ressourcenrichtlinie.

JSON
{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "DataSyncFullAccessPermissions",
            "Effect": "Allow",
            "Action": [
                "datasync:*",
                "ec2:CreateNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRegions",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcEndpoints",
                "ec2:ModifyNetworkInterfaceAttribute",
                "fsx:DescribeFileSystems",
                "fsx:DescribeStorageVirtualMachines",
                "elasticfilesystem:DescribeAccessPoints",
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:DescribeMountTargets",
                "iam:GetRole",
                "iam:ListRoles",
                "logs:CreateLogGroup",
                "logs:DescribeLogGroups",
                "logs:DescribeResourcePolicies",
                "outposts:ListOutposts",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:ListBucketVersions",
                "s3-outposts:ListAccessPoints",
                "s3-outposts:ListRegionalBuckets",
                "secretsmanager:ListSecrets",
                "kms:ListAliases",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DataSyncPassRolePermissions",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "datasync.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "DataSyncCreateSLRPermissions",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/datasync.amazonaws.com/AWSServiceRoleForDataSync",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "datasync.amazonaws.com"
                }
            }
        },
        {
            "Sid": "DataSyncSecretsManagerCreateAccess",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:CreateSecret"
            ],
            "Resource": [
                "arn:*:secretsmanager:*:*:secret:aws-datasync!*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "DataSyncSecretsManagerAccess",
            "Effect": "Allow",
            "Action": [

                "secretsmanager:DeleteSecret",
                "secretsmanager:UpdateSecret",
                "secretsmanager:PutSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:*:*:secret:aws-datasync!*"
            ],
            "Condition": {
                "StringEquals": {
                    "secretsmanager:ResourceTag/aws:secretsmanager:owningService": "aws-datasync",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
         }
    ]
}

AWS verwaltete Richtlinie: AWSDataSyncServiceRolePolicy

Sie können die AWSDataSyncServiceRolePolicy Richtlinie nicht an Ihre IAM-Identitäten anhängen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, mit der Sie Aktionen DataSync in Ihrem Namen ausführen können. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für DataSync.

Diese Richtlinie gewährt Administratorberechtigungen, die es der serviceverknüpften Rolle ermöglichen, CloudWatch Amazon-Protokolle für DataSync Aufgaben im erweiterten Modus zu erstellen.

Richtlinienaktualisierungen

Änderung Beschreibung Datum
AWSDataSyncFullAccess— Ändern

DataSync geänderte Genehmigungserklärungen fürAWSDataSyncFullAccess:

Die aktualisierten Anweisungen entfernen Tagging-Bedingungen aus den Berechtigungen, die zum Erstellen von Secrets Manager Manager-Geheimnissen DataSync verwendet werden.

 13. Mai 2025
AWSDataSyncFullAccess— Veränderung

DataSync neue Berechtigungen hinzugefügt fürAWSDataSyncFullAccess:

  • secretsmanager:CreateSecret

  • secretsmanager:PutSecretValue

  • secretsmanager:DeleteSecret

  • secretsmanager:UpdateSecret

Diese Berechtigungen ermöglichen das DataSync Erstellen, Bearbeiten und Löschen von AWS Secrets Manager Geheimnissen.

 7. Mai 2025
AWSDataSyncFullAccess— Veränderung

DataSync neue Berechtigungen hinzugefügt fürAWSDataSyncFullAccess:

  • secretsmanager:ListSecrets

  • kms:ListAliases

  • kms:DescribeKey

Mit diesen Berechtigungen können Metadaten zu Ihren AWS Secrets Manager Geheimnissen und AWS KMS Schlüsseln DataSync abgerufen werden, einschließlich aller Aliase, die mit Ihren Schlüsseln verknüpft sind.

 23. April 2025
AWSDataSyncServiceRolePolicy— Veränderung

DataSync hat der AWSDataSyncServiceRolePolicy Richtlinie, die von der DataSync serviceverknüpften Rolle AWSServiceRoleForDataSync verwendet wird, neue Berechtigungen hinzugefügt:

  • secretsmanager:DescribeSecret

  • secretsmanager:GetSecretValue

Diese Berechtigungen ermöglichen das DataSync Lesen von Metadaten und Werten für Geheimnisse, die von verwaltet werden AWS Secrets Manager.

 15. April 2025
AWSDataSyncServiceRolePolicy – Neue Richtlinie

DataSync hat eine Richtlinie hinzugefügt, die von der DataSync serviceverknüpften Rolle AWSServiceRoleForDataSync verwendet wird. Diese neue verwaltete Richtlinie erstellt automatisch CloudWatch Amazon-Protokolle für Ihre DataSync Aufgaben, die den erweiterten Modus verwenden.

 30. Oktober 2024
AWSDataSyncFullAccess— Ändern

DataSync hat eine neue Erlaubnis hinzugefügt fürAWSDataSyncFullAccess:

  • iam:CreateServiceLinkedRole

Mit dieser Berechtigung können DataSync Sie dienstbezogene Rollen für Sie erstellen.

 30. Oktober 2024
AWSDataSyncFullAccess— Ändern

DataSync hat eine neue Erlaubnis hinzugefügt fürAWSDataSyncFullAccess:

  • ec2:DescribeRegions

Mit dieser Berechtigung können Sie beim Erstellen einer DataSync Aufgabe für Übertragungen zwischen AWS-Regionen diesen Regionen auswählen, für die Sie sich anmelden möchten.

 22. Juli 2024
AWSDataSyncFullAccess— Ändern

DataSync hat eine neue Erlaubnis hinzugefügt fürAWSDataSyncFullAccess:

  • s3:ListBucketVersions

Mit dieser Berechtigung können Sie eine bestimmte Version Ihres DataSync Manifests auswählen.

 16. Februar 2024

AWSDataSyncFullAccess— Ändern

DataSync neue Berechtigungen hinzugefügt fürAWSDataSyncFullAccess:

  • ec2:DescribeVpcEndpoints

  • elasticfilesystem:DescribeAccessPoints

  • fsx:DescribeStorageVirtualMachines

  • outposts:ListOutposts

  • s3:GetBucketLocation

  • s3-outposts:ListAccessPoints

  • s3-outposts:ListRegionalBuckets

Mit diesen Berechtigungen können Sie DataSync Agenten und Standorte für Amazon EFS, Amazon FSx for NetApp ONTAP, Amazon S3 und S3 auf Outposts erstellen.

 2. Mai 2023

DataSync hat begonnen, Änderungen zu verfolgen

DataSync hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen.

 1. März 2021