例 1: ユーザーが API を使用して Snowball Edge デバイスを注文するためのジョブの作成を許可するロールポリシー例 2: インポートジョブを作成するためのロールポリシー例 3: エクスポートジョブを作成するためのロールポリシー例 4: 期待されるロールのアクセス許可と信頼ポリシージョブ管理 API アクセス権限リファレンス

お客様が管理するポリシーの例

このセクションでは、さまざまな AWS Snowball Edge ジョブ管理アクションのアクセス許可を付与するユーザーポリシーの例を示します。これらのポリシーは、 AWS SDK または AWS CLIを使用しているときに機能します。コンソールを使用している場合は、「AWS Snowball Edge コンソールを使用するために必要なアクセス許可」で説明しているコンソールに固有の追加のアクセス権限を付与する必要があります。

注記

すべての例で、us-west-2 リージョンを使用し、架空のアカウント ID を含めています。

例

例 1: ユーザーが API を使用して Snowball Edge デバイスを注文するためのジョブの作成を許可するロールポリシー
例 2: インポートジョブを作成するためのロールポリシー
例 3: エクスポートジョブを作成するためのロールポリシー
例 4: 期待されるロールのアクセス許可と信頼ポリシー
AWS Snowball Edge API アクセス許可: アクション、リソース、および条件リファレンス

例 1: ユーザーが API を使用して Snowball Edge デバイスを注文するためのジョブの作成を許可するロールポリシー

以下のアクセス権限ポリシーは、ジョブ管理 API を使用したジョブまたはクラスター作成のアクセス権限を付与するために使用される、すべてのポリシーで必須の構成要素です。このステートメントは、Snowball IAM ロールの信頼関係ポリシーステートメントとして必要です。

例 2: インポートジョブを作成するためのロールポリシー

次のロール信頼ポリシーを使用して、 AWS IoT Greengrass 関数 AWS Lambda を使用する Snowball Edge のインポートジョブを作成します。

JSON



                    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketPolicy",
                "s3:GetBucketLocation",
                "s3:ListBucketMultipartUploads",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts",
                "s3:PutObjectAcl",
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "snowball:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iot:AttachPrincipalPolicy",
                "iot:AttachThingPrincipal",
                "iot:CreateKeysAndCertificate",
                "iot:CreatePolicy",
                "iot:CreateThing",
                "iot:DescribeEndpoint",
                "iot:GetPolicy"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "lambda:GetFunction"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "greengrass:CreateCoreDefinition",
                "greengrass:CreateDeployment",
                "greengrass:CreateDeviceDefinition",
                "greengrass:CreateFunctionDefinition",
                "greengrass:CreateGroup",
                "greengrass:CreateGroupVersion",
                "greengrass:CreateLoggerDefinition",
                "greengrass:CreateSubscriptionDefinition",
                "greengrass:GetDeploymentStatus",
                "greengrass:UpdateGroupCertificateConfiguration",
                "greengrass:CreateGroupCertificateAuthority",
                "greengrass:GetGroupCertificateAuthority",
                "greengrass:ListGroupCertificateAuthorities",
                "greengrass:ListDeployments", 
                "greengrass:GetGroup", 
                "greengrass:GetGroupVersion", 
                "greengrass:GetCoreDefinitionVersion"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

例 3: エクスポートジョブを作成するためのロールポリシー

次のロール信頼ポリシーを使用して、 AWS IoT Greengrass 関数 AWS Lambda を搭載したを使用する Snowball Edge のエクスポートジョブを作成します。

JSON



                    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
           "Effect": "Allow",
           "Action": [
                "snowball:*"
           ],
           "Resource": [
                "*"
           ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iot:AttachPrincipalPolicy",
                "iot:AttachThingPrincipal",
                "iot:CreateKeysAndCertificate",
                "iot:CreatePolicy",
                "iot:CreateThing",
                "iot:DescribeEndpoint",
                "iot:GetPolicy"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "lambda:GetFunction"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "greengrass:CreateCoreDefinition",
                "greengrass:CreateDeployment",
                "greengrass:CreateDeviceDefinition",
                "greengrass:CreateFunctionDefinition",
                "greengrass:CreateGroup",
                "greengrass:CreateGroupVersion",
                "greengrass:CreateLoggerDefinition",
                "greengrass:CreateSubscriptionDefinition",
                "greengrass:GetDeploymentStatus",
                "greengrass:UpdateGroupCertificateConfiguration",
                "greengrass:CreateGroupCertificateAuthority",
                "greengrass:GetGroupCertificateAuthority",
                "greengrass:ListGroupCertificateAuthorities",
                "greengrass:ListDeployments", 
                "greengrass:GetGroup", 
                "greengrass:GetGroupVersion", 
                "greengrass:GetCoreDefinitionVersion"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

例 4: 期待されるロールのアクセス許可と信頼ポリシー

既存のサービスロールを使用するには、以下の期待されるロールのアクセス許可ポリシーが必要です。これは 1 回限りの設定です。

既存のサービスロールを使用するには、以下の期待されるロールの信頼ポリシーが必要です。これは 1 回限りの設定です。

AWS Snowball Edge API アクセス許可: アクション、リソース、および条件リファレンス

の「アクセスコントロール AWS クラウド」をセットアップし、IAM アイデンティティにアタッチできるアクセス権限ポリシー (アイデンティティベースのポリシー) を作成するときは、以下のテーブルをリファレンスとして使用できます。次の表各 AWS Snowball Edge ジョブ管理 API オペレーションと、アクションを実行するためのアクセス許可を付与できる対応するアクションを示します。また、API オペレーションごとに、アクセス許可を付与できる AWS リソースも含まれます。ポリシーの Action フィールドでアクションを指定し、ポリシーの Resource フィールドでリソースの値を指定します。

AWS Snowball Edge ポリシーで AWS全体の条件キーを使用して、条件を表現できます。 AWS全体のキーの完全なリストについては、IAM ユーザーガイドの「使用可能なキー」を参照してください。

注記

アクションを指定するには、API オペレーション名 (snowball:CreateJob など) の前に snowball: プレフィックスを使用します。

スクロールバーを使用して、テーブルの残りの部分を確認します。

AWS Snowball Edge ジョブ管理 API とアクションに必要なアクセス許可
ジョブ管理 API アクション	必要な許可
CancelCluster	`snowball:CancelCluster`
CancelJob	`snowball:CancelJob`
CreateAddress	`snowball:CreateAddress`
CreateCluster	このアクションには次のアクセス権限が必要です。「AWS Snowball Edge コンソールを使用するために必要なアクセス許可」の完全なコンソールアクセス権限「例 1: ユーザーが API を使用して Snowball Edge デバイスを注文するためのジョブの作成を許可するロールポリシー」の追加 API 限定アクセス権限 `snowball:CreateCluster`
CreateJob	「AWS Snowball Edge コンソールを使用するために必要なアクセス許可」の完全なコンソールアクセス権限「例 1: ユーザーが API を使用して Snowball Edge デバイスを注文するためのジョブの作成を許可するロールポリシー」の追加 API 限定アクセス権限 `snowball:CreateJob`
DescribeAddress	`snowball:DescribeAddress`
DescribeAddresses	`snowball:DescribeAddresses`
DescribeCluster	`snowball:DescribeCluster`
DescribeJob	`snowball:DescribeJob`
GetJobManifest	`snowball:GetJobManifest`
GetJobUnlockCode	`snowball:GetJobUnlockCode`
GetSnowballUsage	`snowball:GetSnowballUsage`
ListClusterJobs	`snowball:ListClusterJobs`
ListClusters	`snowball:ListClusters`
ListJobs	`snowball:ListJobs`
UpdateCluster	`snowball:UpdateCluster`
UpdateJob	`snowball:UpdateJob`

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

アイデンティティベースのポリシー (IAM ポリシー) を使用する

ログ記録とモニタリング