As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Usando políticas baseadas em identidade (políticas do IAM) para AWS Snowball Edge
Este tópico fornece exemplos de políticas baseadas em identidade que demonstram como um administrador de conta pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e perfis). Assim, essas políticas concedem permissões para realizar operações em AWS Snowball Edge recursos no Nuvem AWS.
**Importante**
Recomendamos analisar primeiro os tópicos introdutórios que explicam os conceitos básicos e as opções disponíveis para gerenciar o acesso aos recursos do AWS Snowball Edge . Para obter mais informações, consulte [Visão geral do gerenciamento de permissões de acesso aos seus recursos no Nuvem AWS](authentication-and-access-control.md#access-control-overview).
As seções neste tópico abrangem o seguinte:
+ [Permissões necessárias para usar o AWS Snowball Edge console](#additional-console-required-permissions)
+ [AWS-Políticas gerenciadas (predefinidas) para AWS Snowball Edge](authentication-and-access-control.md#access-policy-examples-aws-managed)
+ [Exemplos de política gerenciada pelo cliente](access-policy-examples-for-sdk-cli.md)
A seguir, um exemplo de uma política de permissões.
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"snowball:*",
"importexport:*"
],
"Resource": "*"
}
]
}
```
------
A política tem duas instruções:
+ A primeira instrução concede permissões para três ações do Amazon S3 (`s3:GetBucketLocation`, `s3:GetObject` e `s3:ListBucket`) em todos os buckets do Amazon S3 usando `arn:aws:s3:::*` como *nome do recurso da Amazon (ARN)*. O ARN especifica um caractere curinga (\$1) para que o usuário possa escolher qualquer um ou todos os buckets do Amazon S3 para exportar dados.
+ A segunda declaração concede permissões para todas as AWS Snowball Edge ações. Como essas ações não comportam permissões em nível de recursos, a política especifica o caractere curinga (\$1) e o valor `Resource` também especifica um caractere curinga.
A política não especifica o elemento `Principal` porque, em uma política baseada em identidade, não se especifica a entidade principal que obtém as permissões. Quando você anexar uma política a um usuário, o usuário será a entidade principal implícita. Quando você anexa uma política de permissões a um perfil do IAM, a entidade principal identificada na política de confiança do perfil obtém as permissões.
Para ver uma tabela mostrando todas as ações da API de gerenciamento de AWS Snowball Edge tarefas e os recursos aos quais elas se aplicam, consulte[AWS Snowball Edge Permissões de API: referência de ações, recursos e condições](access-policy-examples-for-sdk-cli.md#snowball-api-permissions-ref).
## Permissões necessárias para usar o AWS Snowball Edge console
A tabela de referência de permissões lista as operações da API de gerenciamento de AWS Snowball Edge tarefas e mostra as permissões necessárias para cada operação. Para obter mais informações sobre operações da API de gerenciamento de trabalhos, consulte [AWS Snowball Edge Permissões de API: referência de ações, recursos e condições](access-policy-examples-for-sdk-cli.md#snowball-api-permissions-ref).
Para usar o Console de Gerenciamento da família AWS Snow, você precisa conceder permissões para ações adicionais, conforme mostrado na seguinte política de permissões:
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetBucketPolicy",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListAllMyBuckets"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"lambda:GetFunction",
"lambda:GetFunctionConfiguration"
],
"Resource": "arn:aws:lambda:*::function:*"
},
{
"Effect": "Allow",
"Action": [
"lambda:ListFunctions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:Encrypt",
"kms:RetireGrant",
"kms:ListKeys",
"kms:DescribeKey",
"kms:ListAliases"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:ListRoles",
"iam:ListRolePolicies",
"iam:PutRolePolicy"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/snowball*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "importexport.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeImages",
"ec2:ModifyImageAttribute"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"sns:CreateTopic",
"sns:ListTopics",
"sns:GetTopicAttributes",
"sns:SetTopicAttributes",
"sns:ListSubscriptionsByTopic",
"sns:Subscribe"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"greengrass:getServiceRoleForAccount"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"snowball:*"
],
"Resource": [
"*"
]
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetBucketPolicy",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListAllMyBuckets"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"lambda:GetFunction",
"lambda:GetFunctionConfiguration"
],
"Resource": "arn:aws:lambda:::function:*"
},
{
"Effect": "Allow",
"Action": [
"lambda:ListFunctions"
],
"Resource": "arn:aws:lambda:::*"
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:ListRoles",
"iam:ListRolePolicies",
"iam:PutRolePolicy"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/snowball*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "importexport.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeImages",
"ec2:ModifyImageAttribute"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"sns:CreateTopic",
"sns:ListTopics",
"sns:GetTopicAttributes",
"sns:SetTopicAttributes",
"sns:ListSubscriptionsByTopic",
"sns:Subscribe"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"greengrass:getServiceRoleForAccount"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"snowball:*"
],
"Resource": [
"*"
]
}
]
}
```
------
O AWS Snowball Edge console precisa dessas permissões adicionais pelos seguintes motivos:
+ `ec2:`— Eles permitem que o usuário descreva instâncias EC2 compatíveis com a Amazon e modifique seus atributos para fins de computação local. Para obter mais informações, consulte [Usando instâncias de computação EC2 compatíveis com a Amazon no Snowball Edge](using-ec2.md).
+ `kms:`: permitem que o usuário crie ou escolha a chave do KMS que vai criptografar seus dados. Para obter mais informações, consulte [AWS Key Management Service in AWS Snowball Edge](data-protection.md#kms).
+ `iam:`— Eles permitem que o usuário crie ou escolha um ARN de função do IAM que AWS Snowball Edge assumirá o acesso aos AWS recursos associados à criação e processamento de trabalhos.
+ `sns:`: permitem que o usuário crie ou escolha as notificações do Amazon SNS para os trabalhos criados por ele. Para obter mais informações, consulte [Notificações para Snowball Edge](notifications.md).