AWS 的托管策略 AWS DataSync - AWS DataSync
AWSDataSyncReadOnlyAccessAWSDataSyncFullAccessAWSDataSyncServiceRolePolicy策略更新

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS 的托管策略 AWS DataSync

要向用户、群组和角色添加权限,使用 AWS 托管策略比自己编写策略要容易得多。创建仅为团队提供所需权限的 IAM 客户管理型策略需要时间和专业知识。要快速入门,您可以使用我们的 AWS 托管策略。这些策略涵盖常见使用案例,可在您的 AWS 账户中使用。有关 AWS 托管策略的更多信息,请参阅 IAM 用户指南中的AWS 托管策略

AWS 服务 维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管式策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 AWS 托管式策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。

此外,还 AWS 支持跨多个服务的工作职能的托管策略。例如,ReadOnlyAccess AWS 托管策略提供对所有资源 AWS 服务 和资源的只读访问权限。当服务启动一项新功能时, AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的AWS 托管式策略

AWS 托管策略:AWSDataSyncReadOnlyAccess

您可以将 AWSDataSyncReadOnlyAccess 策略附加到 IAM 身份。

此策略授予的只读权限 DataSync。

JSON
{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "DataSyncReadOnlyAccessPermissions",
        "Effect": "Allow",
        "Action": [
            "datasync:Describe*",
            "datasync:List*",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "elasticfilesystem:DescribeFileSystems",
            "elasticfilesystem:DescribeMountTargets",
            "fsx:DescribeFileSystems",
            "iam:GetRole",
            "iam:ListRoles",
            "logs:DescribeLogGroups",
            "logs:DescribeResourcePolicies",
            "s3:ListAllMyBuckets",
            "s3:ListBucket"
        ],
        "Resource": "*"
    }]
}

AWS 托管策略:AWSDataSyncFullAccess

您可以将 AWSDataSyncFullAccess 策略附加到 IAM 身份。

此策略授予对服务的管理权限 DataSync ,并且是 AWS Management Console 访问该服务所必需的。 AWSDataSyncFullAccess提供对 DataSync API 操作以及与相关资源(例如 Amazon S3 存储桶、Amazon EFS 文件系统、 AWS KMS 密钥和 Secrets Manager 密钥)交互的操作的完全访问权限。该政策还向 Amazon 授予权限 CloudWatch,包括创建日志组以及创建或更新资源策略。

JSON
{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "DataSyncFullAccessPermissions",
            "Effect": "Allow",
            "Action": [
                "datasync:*",
                "ec2:CreateNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRegions",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcEndpoints",
                "ec2:ModifyNetworkInterfaceAttribute",
                "fsx:DescribeFileSystems",
                "fsx:DescribeStorageVirtualMachines",
                "elasticfilesystem:DescribeAccessPoints",
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:DescribeMountTargets",
                "iam:GetRole",
                "iam:ListRoles",
                "logs:CreateLogGroup",
                "logs:DescribeLogGroups",
                "logs:DescribeResourcePolicies",
                "outposts:ListOutposts",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:ListBucketVersions",
                "s3-outposts:ListAccessPoints",
                "s3-outposts:ListRegionalBuckets",
                "secretsmanager:ListSecrets",
                "kms:ListAliases",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DataSyncPassRolePermissions",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "datasync.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "DataSyncCreateSLRPermissions",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/datasync.amazonaws.com/AWSServiceRoleForDataSync",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "datasync.amazonaws.com"
                }
            }
        },
        {
            "Sid": "DataSyncSecretsManagerCreateAccess",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:CreateSecret"
            ],
            "Resource": [
                "arn:*:secretsmanager:*:*:secret:aws-datasync!*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "DataSyncSecretsManagerAccess",
            "Effect": "Allow",
            "Action": [

                "secretsmanager:DeleteSecret",
                "secretsmanager:UpdateSecret",
                "secretsmanager:PutSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:*:*:secret:aws-datasync!*"
            ],
            "Condition": {
                "StringEquals": {
                    "secretsmanager:ResourceTag/aws:secretsmanager:owningService": "aws-datasync",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
         }
    ]
}

AWS 托管策略:AWSDataSyncServiceRolePolicy

您不可以将 AWSDataSyncServiceRolePolicy 策略附加得到 IAM 身份。此策略附加到允许代表您执行操作 DataSync 的服务相关角色。有关更多信息,请参阅 将服务相关角色用于 DataSync

此策略授予管理权限,允许服务相关角色使用增强模式为 DataSync 任务创建 Amazon CloudWatch 日志。

策略更新

更改 描述 日期
AWSDataSyncFullAccess – 更改

DataSync 修改了以下内容的权限声明AWSDataSyncFullAccess

更新后的语句从用于创建 Secret DataSync s Manager 密钥的权限中删除了标记条件。

 2025 年 5 月 13 日
AWSDataSyncFullAccess – 更改

DataSync 向以下内容添加了新权限AWSDataSyncFullAccess

  • secretsmanager:CreateSecret

  • secretsmanager:PutSecretValue

  • secretsmanager:DeleteSecret

  • secretsmanager:UpdateSecret

这些权限允许 DataSync 创建、编辑和删除 AWS Secrets Manager 密钥。

 2025 年 5 月 7 日
AWSDataSyncFullAccess – 更改

DataSync 向以下内容添加了新权限AWSDataSyncFullAccess

  • secretsmanager:ListSecrets

  • kms:ListAliases

  • kms:DescribeKey

这些权限允许 DataSync 检索有关您的 AWS Secrets Manager 机密和密 AWS KMS 钥的元数据,包括与您的密钥关联的任何别名。

 2025 年 4 月 23 日
AWSDataSyncServiceRolePolicy – 更改

DataSync 为 DataSync服务相关角色AWSServiceRoleForDataSync使用的AWSDataSyncServiceRolePolicy策略添加了新权限:

  • secretsmanager:DescribeSecret

  • secretsmanager:GetSecretValue

这些权限允许 DataSync 读取由管理的密钥的元数据和值 AWS Secrets Manager。

 2025 年 4 月 15 日
AWSDataSyncServiceRolePolicy:新策略

DataSync 添加了 DataSync 服务相关角色AWSServiceRoleForDataSync使用的策略。这项新的托管策略会自动为您的使用增强模式的 DataSync 任务创建 Amazon CloudWatch 日志。

 2024 年 10 月 30 日
AWSDataSyncFullAccess – 更改

DataSync 为以下内容添加了新的权限AWSDataSyncFullAccess

  • iam:CreateServiceLinkedRole

此权限允许您 DataSync 创建与服务相关的角色。

 2024 年 10 月 30 日
AWSDataSyncFullAccess – 更改

DataSync 为以下内容添加了新的权限AWSDataSyncFullAccess

  • ec2:DescribeRegions

此权限允许您在创建 DataSync 任务时选择选择加入区域,以便在两者之间 AWS 区域进行转移。

 2024 年 7 月 22 日
AWSDataSyncFullAccess – 更改

DataSync 为以下内容添加了新的权限AWSDataSyncFullAccess

  • s3:ListBucketVersions

此权限允许您选择DataSync 清单的特定版本。

 2024 年 2 月 16 日

AWSDataSyncFullAccess – 更改

DataSync 向以下内容添加了新权限AWSDataSyncFullAccess

  • ec2:DescribeVpcEndpoints

  • elasticfilesystem:DescribeAccessPoints

  • fsx:DescribeStorageVirtualMachines

  • outposts:ListOutposts

  • s3:GetBucketLocation

  • s3-outposts:ListAccessPoints

  • s3-outposts:ListRegionalBuckets

这些权限可以帮助你在 Outposts 上为亚马逊 EFS、Amazon f NetApp o FSx r ONTAP、Amazon S3 和 S3 创建 DataSync 代理和位置。

 2023 年 5 月 2 日

DataSync 开始跟踪更改

DataSync 开始跟踪其 AWS 托管策略的更改。

 2021 年 3 月 1 日