AWSDataSyncReadOnlyAccess AWSDataSyncFullAccess AWSDataSyncServiceRolePolicy Pembaruan kebijakan

AWS kebijakan terkelola untuk AWS DataSync

Untuk menambahkan izin ke pengguna, grup, dan peran, lebih mudah menggunakan kebijakan AWS terkelola daripada menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk membuat kebijakan yang dikelola pelanggan IAM yang hanya memberi tim Anda izin yang mereka butuhkan. Untuk memulai dengan cepat, Anda dapat menggunakan kebijakan AWS terkelola kami. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di Akun AWS Anda. Untuk informasi selengkapnya tentang kebijakan AWS AWS terkelola, lihat kebijakan terkelola di Panduan Pengguna IAM.

Layanan AWS memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang menambahkan izin tambahan ke kebijakan yang dikelola AWS untuk mendukung fitur-fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan yang dikelola AWS saat ada fitur baru yang diluncurkan atau saat ada operasi baru yang tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.

Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan ReadOnlyAccess AWS terkelola menyediakan akses hanya-baca ke semua Layanan AWS dan sumber daya. Saat layanan meluncurkan fitur baru, AWS tambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk melihat daftar dan deskripsi dari kebijakan fungsi tugas, lihat kebijakan yang dikelola AWS untuk fungsi tugas di Panduan Pengguna IAM.

AWS kebijakan terkelola: AWSDataSyncReadOnlyAccess

Anda dapat melampirkan kebijakan AWSDataSyncReadOnlyAccess ke identitas IAM Anda.

Kebijakan ini memberikan izin hanya-baca untuk. DataSync

AWS kebijakan terkelola: AWSDataSyncFullAccess

Anda dapat melampirkan kebijakan AWSDataSyncFullAccess ke identitas IAM Anda.

Kebijakan ini memberikan izin administratif untuk DataSync dan diperlukan untuk AWS Management Console akses ke layanan. AWSDataSyncFullAccessmenyediakan akses penuh ke operasi DataSync API dan operasi yang berinteraksi dengan sumber daya terkait (seperti bucket Amazon S3, sistem file Amazon EFS, AWS KMS kunci, dan rahasia Secrets Manager). Kebijakan ini juga memberikan izin untuk Amazon CloudWatch, termasuk membuat grup log dan membuat atau memperbarui kebijakan sumber daya.

JSON


{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "DataSyncFullAccessPermissions",
            "Effect": "Allow",
            "Action": [
                "datasync:*",
                "ec2:CreateNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRegions",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcEndpoints",
                "ec2:ModifyNetworkInterfaceAttribute",
                "fsx:DescribeFileSystems",
                "fsx:DescribeStorageVirtualMachines",
                "elasticfilesystem:DescribeAccessPoints",
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:DescribeMountTargets",
                "iam:GetRole",
                "iam:ListRoles",
                "logs:CreateLogGroup",
                "logs:DescribeLogGroups",
                "logs:DescribeResourcePolicies",
                "outposts:ListOutposts",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:ListBucketVersions",
                "s3-outposts:ListAccessPoints",
                "s3-outposts:ListRegionalBuckets",
                "secretsmanager:ListSecrets",
                "kms:ListAliases",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DataSyncPassRolePermissions",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "datasync.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "DataSyncCreateSLRPermissions",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/datasync.amazonaws.com/AWSServiceRoleForDataSync",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "datasync.amazonaws.com"
                }
            }
        },
        {
            "Sid": "DataSyncSecretsManagerCreateAccess",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:CreateSecret"
            ],
            "Resource": [
                "arn:*:secretsmanager:*:*:secret:aws-datasync!*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "DataSyncSecretsManagerAccess",
            "Effect": "Allow",
            "Action": [

                "secretsmanager:DeleteSecret",
                "secretsmanager:UpdateSecret",
                "secretsmanager:PutSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:*:*:secret:aws-datasync!*"
            ],
            "Condition": {
                "StringEquals": {
                    "secretsmanager:ResourceTag/aws:secretsmanager:owningService": "aws-datasync",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
         }
    ]
}

AWS kebijakan terkelola: AWSDataSyncServiceRolePolicy

Anda tidak dapat melampirkan AWSDataSyncServiceRolePolicy kebijakan ke identitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan DataSync untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk DataSync.

Kebijakan ini memberikan izin administratif yang memungkinkan peran terkait layanan untuk membuat CloudWatch log Amazon untuk DataSync tugas menggunakan mode Peningkatan.

Pembaruan kebijakan

Perubahan	Deskripsi	Tanggal
AWSDataSyncFullAccess— Ubah	DataSync pernyataan izin yang dimodifikasi untuk`AWSDataSyncFullAccess`: Pernyataan yang diperbarui menghapus kondisi penandaan dari izin yang DataSync digunakan untuk membuat rahasia Secrets Manager.	13 Mei 2025
AWSDataSyncFullAccess— Ubah	DataSync menambahkan izin baru ke`AWSDataSyncFullAccess`: `secretsmanager:CreateSecret` `secretsmanager:PutSecretValue` `secretsmanager:DeleteSecret` `secretsmanager:UpdateSecret` Izin ini memungkinkan DataSync membuat, mengedit, dan menghapus AWS Secrets Manager rahasia.	7 Mei 2025
AWSDataSyncFullAccess— Ubah	DataSync menambahkan izin baru ke`AWSDataSyncFullAccess`: `secretsmanager:ListSecrets` `kms:ListAliases` `kms:DescribeKey` Izin ini memungkinkan DataSync mengambil metadata tentang AWS Secrets Manager rahasia dan AWS KMS kunci Anda, termasuk alias apa pun yang terkait dengan kunci Anda.	April 23, 2025
AWSDataSyncServiceRolePolicy— Ubah	DataSync menambahkan izin baru ke `AWSDataSyncServiceRolePolicy` kebijakan yang digunakan oleh peran DataSync terkait layanan: `AWSServiceRoleForDataSync` `secretsmanager:DescribeSecret` `secretsmanager:GetSecretValue` Izin ini memungkinkan DataSync membaca metadata dan nilai untuk rahasia yang dikelola oleh. AWS Secrets Manager	April 15, 2025
AWSDataSyncServiceRolePolicy – Kebijakan baru	DataSync menambahkan kebijakan yang digunakan oleh peran DataSync terkait layanan. `AWSServiceRoleForDataSync` Kebijakan terkelola baru ini secara otomatis membuat CloudWatch log Amazon untuk DataSync tugas Anda yang menggunakan mode Peningkatan.	Oktober 30, 2024
AWSDataSyncFullAccess— Ubah	DataSync menambahkan izin baru ke`AWSDataSyncFullAccess`: `iam:CreateServiceLinkedRole` Izin ini memungkinkan DataSync membuat peran terkait layanan untuk Anda.	Oktober 30, 2024
AWSDataSyncFullAccess— Ubah	DataSync menambahkan izin baru ke`AWSDataSyncFullAccess`: `ec2:DescribeRegions` Izin ini memungkinkan Anda memilih Wilayah keikutsertaan saat membuat DataSync tugas untuk transfer di antaranya Wilayah AWS.	Juli 22, 2024
AWSDataSyncFullAccess— Ubah	DataSync menambahkan izin baru ke`AWSDataSyncFullAccess`: `s3:ListBucketVersions` Izin ini memungkinkan Anda memilih versi tertentu dari DataSync manifes Anda.	Februari 16, 2024
AWSDataSyncFullAccess— Ubah	DataSync menambahkan izin baru ke`AWSDataSyncFullAccess`: `ec2:DescribeVpcEndpoints` `elasticfilesystem:DescribeAccessPoints` `fsx:DescribeStorageVirtualMachines` `outposts:ListOutposts` `s3:GetBucketLocation` `s3-outposts:ListAccessPoints` `s3-outposts:ListRegionalBuckets` Izin ini membantu Anda membuat DataSync agen dan lokasi untuk Amazon EFS, Amazon FSx untuk NetApp ONTAP, Amazon S3, dan S3 di Outposts.	2 Mei 2023
DataSync mulai melacak perubahan	DataSync mulai melacak perubahan untuk kebijakan AWS terkelolanya.	1 Maret 2021

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Manajemen akses

Kebijakan yang dikelola pelanggan