AWS politiques gérées pour AWS DataSync - AWS DataSync
AWSDataSyncReadOnlyAccessAWSDataSyncFullAccessAWSDataSyncServiceRolePolicyMises à jour des politiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS politiques gérées pour AWS DataSync

Pour ajouter des autorisations aux utilisateurs, aux groupes et aux rôles, il est plus facile d'utiliser des politiques AWS gérées que de les rédiger vous-même. Il faut du temps et de l’expertise pour créer des politiques gérées par le client IAM qui ne fournissent à votre équipe que les autorisations dont elle a besoin. Pour démarrer rapidement, vous pouvez utiliser nos politiques AWS gérées. Ces politiques couvrent des cas d’utilisation courants et sont disponibles dans votre Compte AWS. Pour plus d'informations sur les politiques AWS gérées, voir les politiques AWS gérées dans le guide de l'utilisateur IAM.

Services AWS maintenir et mettre à jour les politiques AWS gérées. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Les services ajoutent occasionnellement des autorisations à une politique gérée par AWS pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont très susceptibles de mettre à jour une politique gérée par AWS quand une nouvelle fonctionnalité est lancée ou quand de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'une politique AWS gérée. Les mises à jour des politiques n'endommageront donc pas vos autorisations existantes.

En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique ReadOnlyAccess AWS gérée fournit un accès en lecture seule à toutes Services AWS les ressources. Lorsqu'un service lance une nouvelle fonctionnalité, il AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir la liste des politiques de fonctions professionnelles et leurs descriptions, consultez la page politiques gérées par AWS pour les fonctions de tâche dans le Guide de l’utilisateur IAM.

AWS politique gérée : AWSDataSyncReadOnlyAccess

Vous pouvez associer la politique AWSDataSyncReadOnlyAccess à vos identités IAM.

Cette politique accorde des autorisations en lecture seule pour. DataSync

JSON
{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "DataSyncReadOnlyAccessPermissions",
        "Effect": "Allow",
        "Action": [
            "datasync:Describe*",
            "datasync:List*",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "elasticfilesystem:DescribeFileSystems",
            "elasticfilesystem:DescribeMountTargets",
            "fsx:DescribeFileSystems",
            "iam:GetRole",
            "iam:ListRoles",
            "logs:DescribeLogGroups",
            "logs:DescribeResourcePolicies",
            "s3:ListAllMyBuckets",
            "s3:ListBucket"
        ],
        "Resource": "*"
    }]
}

AWS politique gérée : AWSDataSyncFullAccess

Vous pouvez associer la politique AWSDataSyncFullAccess à vos identités IAM.

Cette politique accorde des autorisations administratives DataSync et est requise pour AWS Management Console accéder au service. AWSDataSyncFullAccessfournit un accès complet aux opérations d' DataSync API et aux opérations qui interagissent avec les ressources associées (telles que les compartiments Amazon S3, les systèmes de fichiers Amazon EFS, AWS KMS les clés et les secrets de Secrets Manager). La politique accorde également des autorisations à Amazon CloudWatch, y compris la création de groupes de journaux et la création ou la mise à jour d'une politique de ressources.

JSON
{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "DataSyncFullAccessPermissions",
            "Effect": "Allow",
            "Action": [
                "datasync:*",
                "ec2:CreateNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRegions",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcEndpoints",
                "ec2:ModifyNetworkInterfaceAttribute",
                "fsx:DescribeFileSystems",
                "fsx:DescribeStorageVirtualMachines",
                "elasticfilesystem:DescribeAccessPoints",
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:DescribeMountTargets",
                "iam:GetRole",
                "iam:ListRoles",
                "logs:CreateLogGroup",
                "logs:DescribeLogGroups",
                "logs:DescribeResourcePolicies",
                "outposts:ListOutposts",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:ListBucketVersions",
                "s3-outposts:ListAccessPoints",
                "s3-outposts:ListRegionalBuckets",
                "secretsmanager:ListSecrets",
                "kms:ListAliases",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DataSyncPassRolePermissions",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "datasync.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "DataSyncCreateSLRPermissions",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/datasync.amazonaws.com/AWSServiceRoleForDataSync",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "datasync.amazonaws.com"
                }
            }
        },
        {
            "Sid": "DataSyncSecretsManagerCreateAccess",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:CreateSecret"
            ],
            "Resource": [
                "arn:*:secretsmanager:*:*:secret:aws-datasync!*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "DataSyncSecretsManagerAccess",
            "Effect": "Allow",
            "Action": [

                "secretsmanager:DeleteSecret",
                "secretsmanager:UpdateSecret",
                "secretsmanager:PutSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:*:*:secret:aws-datasync!*"
            ],
            "Condition": {
                "StringEquals": {
                    "secretsmanager:ResourceTag/aws:secretsmanager:owningService": "aws-datasync",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
         }
    ]
}

AWS politique gérée : AWSDataSyncServiceRolePolicy

Vous ne pouvez pas associer la AWSDataSyncServiceRolePolicy politique à vos identités IAM. Cette politique est associée à un rôle lié à un service qui permet d' DataSync effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Utilisation des rôles liés aux services pour DataSync.

Cette politique accorde des autorisations administratives qui permettent au rôle lié au service de créer des CloudWatch journaux Amazon pour les DataSync tâches utilisant le mode amélioré.

Mises à jour des politiques

Modification Description Date
AWSDataSyncFullAccess— Modification

DataSync déclarations d'autorisation modifiées pour AWSDataSyncFullAccess :

Les instructions mises à jour suppriment les conditions de balisage des autorisations DataSync utilisées pour créer des secrets Secrets Manager.

 13 mai 2025
AWSDataSyncFullAccess— Modification

DataSync a ajouté de nouvelles autorisations pour AWSDataSyncFullAccess :

  • secretsmanager:CreateSecret

  • secretsmanager:PutSecretValue

  • secretsmanager:DeleteSecret

  • secretsmanager:UpdateSecret

Ces autorisations permettent de DataSync créer, de modifier et de supprimer AWS Secrets Manager des secrets.

 7 mai 2025
AWSDataSyncFullAccess— Modification

DataSync a ajouté de nouvelles autorisations pour AWSDataSyncFullAccess :

  • secretsmanager:ListSecrets

  • kms:ListAliases

  • kms:DescribeKey

Ces autorisations permettent de DataSync récupérer des métadonnées concernant vos AWS Secrets Manager secrets et vos AWS KMS clés, y compris les alias associés à vos clés.

 23 avril 2025
AWSDataSyncServiceRolePolicy— Modification

DataSync a ajouté de nouvelles autorisations à la AWSDataSyncServiceRolePolicy politique utilisée par le rôle DataSync lié au service : AWSServiceRoleForDataSync

  • secretsmanager:DescribeSecret

  • secretsmanager:GetSecretValue

Ces autorisations permettent de DataSync lire les métadonnées et les valeurs des secrets gérés par AWS Secrets Manager.

 15 avril 2025
AWSDataSyncServiceRolePolicy : nouvelle politique

DataSync a ajouté une politique qui est utilisée par le rôle DataSync lié au service. AWSServiceRoleForDataSync Cette nouvelle politique gérée crée automatiquement des CloudWatch journaux Amazon pour vos DataSync tâches qui utilisent le mode amélioré.

 30 octobre 2024
AWSDataSyncFullAccess— Modification

DataSync a ajouté une nouvelle autorisation pour AWSDataSyncFullAccess :

  • iam:CreateServiceLinkedRole

Cette autorisation permet de DataSync créer des rôles liés à un service pour vous.

 30 octobre 2024
AWSDataSyncFullAccess— Modification

DataSync a ajouté une nouvelle autorisation pour AWSDataSyncFullAccess :

  • ec2:DescribeRegions

Cette autorisation vous permet de choisir des régions facultatives lors de la création d'une DataSync tâche pour les transferts entre Régions AWS celles-ci.

 22 juillet 2024
AWSDataSyncFullAccess— Modification

DataSync a ajouté une nouvelle autorisation pour AWSDataSyncFullAccess :

  • s3:ListBucketVersions

Cette autorisation vous permet de choisir une version spécifique de votre DataSync manifeste.

 16 février 2024

AWSDataSyncFullAccess— Modification

DataSync a ajouté de nouvelles autorisations pour AWSDataSyncFullAccess :

  • ec2:DescribeVpcEndpoints

  • elasticfilesystem:DescribeAccessPoints

  • fsx:DescribeStorageVirtualMachines

  • outposts:ListOutposts

  • s3:GetBucketLocation

  • s3-outposts:ListAccessPoints

  • s3-outposts:ListRegionalBuckets

Ces autorisations vous aident à créer DataSync des agents et des emplacements pour Amazon EFS, Amazon FSx for NetApp ONTAP, Amazon S3 et S3 on Outposts.

 2 mai 2023

DataSync a commencé à suivre les modifications

DataSync a commencé à suivre les modifications apportées AWS à ses politiques gérées.

 1er mars 2021