Como AWS Transfer Family funciona com o IAM - AWS Transfer Family
Políticas baseadas em identidade do AWS Transfer FamilyPolíticas baseadas em recursos do AWS Transfer FamilyAutorização baseada em tags do AWS Transfer FamilyAWS Transfer Family Funções do IAM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como AWS Transfer Family funciona com o IAM

Antes de usar o AWS Identity and Access Management (IAM) para gerenciar o acesso AWS Transfer Family, você deve entender quais recursos do IAM estão disponíveis para uso AWS Transfer Family. Para ter uma visão de alto nível de como AWS Transfer Family e outros AWS serviços funcionam com o IAM, consulte AWS os serviços que funcionam com o IAM no Guia do usuário do IAM.

Políticas baseadas em identidade do AWS Transfer Family

Com as políticas baseadas em identidade do IAM, é possível especificar ações permitidas ou negadas e recursos, bem como as condições sob as quais as ações são permitidas ou negadas. O AWS Transfer Family oferece suporte a ações, recursos e chaves de condição específicos. Para saber mais sobre todos os elementos usados em uma política JSON, consulte Referência de elementos de política JSON do IAM no AWS Identity and Access Management Guia do usuário do .

Ações

Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual entidade principal pode executar ações em quais recursos e em que condições.

O elemento Action de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.

As ações políticas AWS Transfer Family usam o seguinte prefixo antes da ação:transfer:. Por exemplo, para conceder permissão a alguém para criar uma VPC com a operação da API CreateServer do Transfer Family, inclua a ação transfer:CreateServer na política da pessoa. As declarações de política devem incluir um elemento Action ou AWS Transfer Family . O NotAction define seu próprio conjunto de ações que descrevem as tarefas que podem ser executadas com esse serviço.

Para especificar várias ações em uma única declaração, separe-as com vírgulas, conforme a seguir.

"Action": [
      "transfer:action1",
      "transfer:action2"

Você também pode especificar várias ações utilizando caracteres curinga (*). Por exemplo, para especificar todas as ações que começam com a palavra Describe, inclua a ação a seguir:

"Action": "transfer:Describe*"

Para ver uma lista de AWS Transfer Family ações, consulte Ações definidas por AWS Transfer Family na Referência de Autorização de Serviço.

Recursos

Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual entidade principal pode executar ações em quais recursos e em que condições.

O elemento de política JSON Resource especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu nome do recurso da Amazon (ARN). Para ações em que não é possível usar permissões em nível de recurso, use um curinga (*) para indicar que a instrução se aplica a todos os recursos.

"Resource": "*"

O recurso de servidor Transfer Family tem o ARN a seguir.

arn:aws:transfer:${Region}:${Account}:server/${ServerId}

Por exemplo, para especificar o servidor do Transfer Family s-01234567890abcdef em sua instrução, use o seguinte ARN.

"Resource": "arn:aws:transfer:us-east-1:123456789012:server/s-01234567890abcdef"

Para obter mais informações sobre o formato de ARNs, consulte Amazon Resource Names (ARNs) na Referência de autorização de serviço ou IAM ARNs no Guia do usuário do IAM.

Para especificar todas as instâncias que pertencem a uma conta específica, use o caractere curinga (*).

"Resource": "arn:aws:transfer:us-east-1:123456789012:server/*"

Algumas AWS Transfer Family ações são executadas em vários recursos, como as usadas nas políticas do IAM. Nesses casos, você deve utilizar o caractere curinga (*).

"Resource": "arn:aws:transfer:*:123456789012:server/*"

Em alguns casos, você precisa especificar mais de um tipo de recurso, por exemplo, se você criar uma política que permita acesso aos servidores e usuários do Transfer Family. Para especificar vários recursos em uma única instrução, separe-os ARNs com vírgulas.

"Resource": [
      "resource1",
      "resource2"
            ]

Para ver uma lista de AWS Transfer Family recursos, consulte Tipos de recursos definidos AWS Transfer Family na Referência de Autorização de Serviço.

Chaves de condição

Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual entidade principal pode executar ações em quais recursos e em que condições.

O elemento Condition especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem agentes de condição, como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as chaves de contexto de condição AWS global no Guia do usuário do IAM.

AWS Transfer Family define seu próprio conjunto de chaves de condição e também oferece suporte ao uso de algumas chaves de condição globais. Para ver uma lista de chaves de AWS Transfer Family condição, consulte Chaves de condição AWS Transfer Family na Referência de autorização de serviço.

Exemplos

Para ver exemplos de políticas AWS Transfer Family baseadas em identidade, consulte. AWS Transfer Family exemplos de políticas baseadas em identidade Para políticas de IAM específicas do VPC endpoint, consulte. Limitando o acesso ao VPC endpoint para servidores Transfer Family

Políticas baseadas em recursos do AWS Transfer Family

Políticas baseadas em recursos são documentos de política JSON que especificam quais ações um diretor específico pode realizar no AWS Transfer Family recurso e sob quais condições. O Amazon S3 oferece suporte a políticas de permissões baseadas em recursos para o Amazon S3. buckets As políticas baseadas em recursos permitem conceder permissão de uso a outras contas especificada por recurso. Você também pode usar uma política baseada em recursos para permitir que um AWS serviço acesse seu Amazon S3. buckets

Para permitir o acesso entre contas, é possível especificar uma conta inteira ou as entidades do IAM em outra conta como a entidade principal em uma política baseada em recurso. Adicionar uma entidade principal entre contas à política baseada em recurso é apenas metade da tarefa de estabelecimento da relação de confiança. Quando o principal e o recurso estão em AWS contas diferentes, você também deve conceder permissão à entidade principal para acessar o recurso. Conceda permissão anexando uma política baseada em identidade para a entidade. No entanto, se uma política baseada em recurso conceder acesso a uma entidade principal na mesma conta, nenhuma política baseada em identidade adicional será necessária. Para obter mais informações, consulte Como os perfis do IAM diferem de políticas baseadas em recursos no Guia do usuário do AWS Identity and Access Management .

O serviço Amazon S3 suporta apenas um tipo de política baseada em recursos chamada bucketpolítica, que é anexada a uma. bucket Essa política define quais entidades principais (contas, usuários, perfis e usuários federados) podem realizar ações no objeto.

Exemplos

Para ver exemplos de políticas AWS Transfer Family baseadas em recursos, consulte. AWS Transfer Family exemplos de políticas baseadas em tags

Autorização baseada em tags do AWS Transfer Family

Você pode anexar tags a AWS Transfer Family recursos ou passar tags em uma solicitação para AWS Transfer Family. Para controlar o acesso baseado em tags, forneça informações sobre as tags no elemento de condição de uma política usando as transfer:ResourceTag/key-name, aws:RequestTag/key-name ou chaves de condição aws:TagKeys. Para obter informações sobre como usar tags para controlar o acesso aos AWS Transfer Family recursos, consulteAWS Transfer Family exemplos de políticas baseadas em tags.

AWS Transfer Family Funções do IAM

Uma função do IAM é uma entidade dentro da sua AWS conta que tem permissões específicas.

Usando credenciais temporárias com AWS Transfer Family

É possível usar credenciais temporárias para fazer login com federação, assumir um perfil do IAM ou assumir um perfil entre contas. Você obtém credenciais de segurança temporárias chamando operações de AWS STS API, como AssumeRoleou GetFederationToken.

AWS Transfer Family suporta o uso de credenciais temporárias.