AWSDataSyncReadOnlyAccess AWSDataSyncFullAccess AWSDataSyncServiceRolePolicy Atualizações da política

AWS políticas gerenciadas para AWS DataSync

Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas AWS gerenciadas do que escrever políticas você mesmo. É necessário tempo e experiência para criar políticas gerenciadas pelo cliente do IAM que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, você pode usar nossas políticas AWS gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua Conta da AWS. Para obter mais informações sobre políticas AWS gerenciadas, consulte políticas AWS gerenciadas no Guia do usuário do IAM.

Serviços da AWS manter e atualizar políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo recurso for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.

Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política ReadOnlyAccess AWS gerenciada fornece acesso somente de leitura a todos Serviços da AWS os recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte Políticas gerenciadas pela AWS para perfis de trabalho no Guia do usuário do IAM.

AWS política gerenciada: AWSDataSyncReadOnlyAccess

É possível anexar a política AWSDataSyncReadOnlyAccess às identidades do IAM.

Essa política concede permissões somente de leitura para. DataSync

AWS política gerenciada: AWSDataSyncFullAccess

É possível anexar a política AWSDataSyncFullAccess às identidades do IAM.

Essa política concede permissões administrativas DataSync e é necessária para o AWS Management Console acesso ao serviço. AWSDataSyncFullAccessfornece acesso total às operações de DataSync API e às operações que interagem com recursos relacionados (como buckets do Amazon S3, sistemas de arquivos Amazon EFS, AWS KMS chaves e segredos do Secrets Manager). A política também concede permissões para a Amazon CloudWatch, incluindo a criação de grupos de registros e a criação ou atualização de uma política de recursos.

JSON


{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "DataSyncFullAccessPermissions",
            "Effect": "Allow",
            "Action": [
                "datasync:*",
                "ec2:CreateNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRegions",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcEndpoints",
                "ec2:ModifyNetworkInterfaceAttribute",
                "fsx:DescribeFileSystems",
                "fsx:DescribeStorageVirtualMachines",
                "elasticfilesystem:DescribeAccessPoints",
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:DescribeMountTargets",
                "iam:GetRole",
                "iam:ListRoles",
                "logs:CreateLogGroup",
                "logs:DescribeLogGroups",
                "logs:DescribeResourcePolicies",
                "outposts:ListOutposts",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:ListBucketVersions",
                "s3-outposts:ListAccessPoints",
                "s3-outposts:ListRegionalBuckets",
                "secretsmanager:ListSecrets",
                "kms:ListAliases",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DataSyncPassRolePermissions",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "datasync.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "DataSyncCreateSLRPermissions",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/datasync.amazonaws.com/AWSServiceRoleForDataSync",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "datasync.amazonaws.com"
                }
            }
        },
        {
            "Sid": "DataSyncSecretsManagerCreateAccess",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:CreateSecret"
            ],
            "Resource": [
                "arn:*:secretsmanager:*:*:secret:aws-datasync!*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "DataSyncSecretsManagerAccess",
            "Effect": "Allow",
            "Action": [

                "secretsmanager:DeleteSecret",
                "secretsmanager:UpdateSecret",
                "secretsmanager:PutSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:*:*:secret:aws-datasync!*"
            ],
            "Condition": {
                "StringEquals": {
                    "secretsmanager:ResourceTag/aws:secretsmanager:owningService": "aws-datasync",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
         }
    ]
}

AWS política gerenciada: AWSDataSyncServiceRolePolicy

É possível anexar a política AWSDataSyncServiceRolePolicy a suas identidades do IAM. Essa política está vinculada a uma função vinculada ao serviço que permite DataSync realizar ações em seu nome. Para obter mais informações, consulte Usar perfis vinculados a serviço do DataSync.

Essa política concede permissões administrativas que permitem que a função vinculada ao serviço crie CloudWatch registros da Amazon para DataSync tarefas usando o modo Avançado.

Atualizações da política

Alteração	Descrição	Data
AWSDataSyncFullAccess: alteração	DataSync declarações de permissão modificadas para`AWSDataSyncFullAccess`: As instruções atualizadas removem as condições de marcação das permissões DataSync usadas para criar segredos do Secrets Manager.	13 de maio de 2025
AWSDataSyncFullAccess: alteração	DataSync adicionou novas permissões para`AWSDataSyncFullAccess`: `secretsmanager:CreateSecret` `secretsmanager:PutSecretValue` `secretsmanager:DeleteSecret` `secretsmanager:UpdateSecret` Essas permissões permitem DataSync criar, editar e excluir AWS Secrets Manager segredos.	7 de maio de 2025
AWSDataSyncFullAccess: alteração	DataSync adicionou novas permissões para`AWSDataSyncFullAccess`: `secretsmanager:ListSecrets` `kms:ListAliases` `kms:DescribeKey` Essas permissões permitem DataSync recuperar metadados sobre seus AWS Secrets Manager segredos e AWS KMS chaves, incluindo quaisquer aliases associados às suas chaves.	23 de abril de 2025
AWSDataSyncServiceRolePolicy: alteração	DataSync adicionou novas permissões à `AWSDataSyncServiceRolePolicy` política usada pela função DataSync vinculada ao serviço: `AWSServiceRoleForDataSync` `secretsmanager:DescribeSecret` `secretsmanager:GetSecretValue` Essas permissões permitem DataSync ler metadados e valores de segredos gerenciados pelo AWS Secrets Manager.	15 de abril de 2025
AWSDataSyncServiceRolePolicy – Nova política	DataSync adicionou uma política que é usada pela função DataSync vinculada ao serviço. `AWSServiceRoleForDataSync` Essa nova política gerenciada cria automaticamente CloudWatch registros da Amazon para suas DataSync tarefas que usam o modo Avançado.	30 de outubro de 2024
AWSDataSyncFullAccess: alteração	DataSync adicionou uma nova permissão para`AWSDataSyncFullAccess`: `iam:CreateServiceLinkedRole` Essa permissão permite DataSync criar funções vinculadas a serviços para você.	30 de outubro de 2024
AWSDataSyncFullAccess: alteração	DataSync adicionou uma nova permissão para`AWSDataSyncFullAccess`: `ec2:DescribeRegions` Essa permissão permite que você escolha regiões opcionais ao criar uma DataSync tarefa para transferências entre Regiões da AWS elas.	22 de julho de 2024
AWSDataSyncFullAccess: alteração	DataSync adicionou uma nova permissão para`AWSDataSyncFullAccess`: `s3:ListBucketVersions` Essa permissão permite que você escolha uma versão específica do seu DataSync manifesto.	16 de fevereiro de 2024
AWSDataSyncFullAccess: alteração	DataSync adicionou novas permissões para`AWSDataSyncFullAccess`: `ec2:DescribeVpcEndpoints` `elasticfilesystem:DescribeAccessPoints` `fsx:DescribeStorageVirtualMachines` `outposts:ListOutposts` `s3:GetBucketLocation` `s3-outposts:ListAccessPoints` `s3-outposts:ListRegionalBuckets` Essas permissões ajudam você a criar DataSync agentes e locais para Amazon EFS, Amazon FSx for NetApp ONTAP, Amazon S3 e S3 on Outposts.	2 de maio de 2023
DataSync começou a rastrear as alterações	DataSync começou a rastrear as mudanças em suas políticas AWS gerenciadas.	1.º de março de 2021

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciamento de acesso

Políticas gerenciadas pelo cliente