AWS适用于 的 托管式策略AWS DataSync - AWS DataSync
AWSDataSyncReadOnlyAccessAWSDataSyncFullAccessAWSDataSyncServiceRolePolicy策略更新

AWS适用于 的 托管式策略AWS DataSync

要向用户、组和角色添加权限,与自己编写策略相比,使用 AWS 托管策略更简单。创建仅为团队提供所需权限的 IAM 客户管理型策略需要时间和专业知识。要快速入门,您可以使用我们的 AWS 托管策略。这些策略涵盖常见使用案例,可在您的 AWS 账户 中使用。有关 AWS 托管策略的更多信息,请参阅《IAM 用户指南》中的AWS 托管策略

AWS 服务 负责维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管式策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 AWS 托管式策略。服务不会从 AWS 托管式策略中删除权限,因此策略更新不会破坏您的现有权限。

此外,AWS 还支持跨多种服务的工作职能的托管式策略。例如,ReadOnlyAccess AWS 托管式策略提供对许多 AWS 服务和资源的只读访问权限。当服务启动新特征时,AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅《IAM 用户指南》中的适用于工作职能的 AWS 托管策略

AWS 托管策略:AWSDataSyncReadOnlyAccess

您可以将 AWSDataSyncReadOnlyAccess 策略附加到 IAM 身份。此策略授予 DataSync 的只读权限。

要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 AWSDataSyncReadOnlyAccess

AWS 托管式策略:AWSDataSyncFullAccess

您可以将 AWSDataSyncFullAccess 策略附加到 IAM 身份。此策略授予对 DataSync 的管理权限,是 AWS 管理控制台 访问服务所必需的。AWSDataSyncFullAccess 提供对 DataSync API 操作和相关资源互动操作(例如 Amazon S3 存储桶、Amazon EFS 文件系统、AWS KMS 密钥和 Secrets Manager 密钥)的完全访问权限。此策略还授予对 Amazon CloudWatch 权限,包括创建日志组以及创建或更新资源策略。

要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 AWSDataSyncFullAccess

AWS 托管式策略:AWSDataSyncServiceRolePolicy

您不可以将 AWSDataSyncServiceRolePolicy 策略附加得到 IAM 身份。此策略附加至服务相关角色,允许 DataSync 代表您执行操作。有关更多信息,请参阅 对 DataSync 使用服务相关角色

此策略授予管理权限,允许服务相关角色为使用增强模式的 DataSync 任务创建 Amazon CloudWatch Logs 日志。

策略更新

更改 描述 日期
AWSDataSyncFullAccess – 更改

DataSync 修改了对 AWSDataSyncFullAccess 的权限语句:

更新后的语句从 DataSync 用于创建 Secrets Manager 密钥的权限中移除了标记条件。

 2025 年 5 月 13 日
AWSDataSyncFullAccess – 更改

DataSync 为以下 AWSDataSyncFullAccess 各项添加了新权限:

  • secretsmanager:CreateSecret

  • secretsmanager:PutSecretValue

  • secretsmanager:DeleteSecret

  • secretsmanager:UpdateSecret

这些权限允许 DataSync 创建、编辑和删除 AWS Secrets Manager 密钥。

 2025 年 5 月 7 日
AWSDataSyncFullAccess – 更改

DataSync 为以下 AWSDataSyncFullAccess 各项添加了新权限:

  • secretsmanager:ListSecrets

  • kms:ListAliases

  • kms:DescribeKey

这些权限允许 DataSync 检索有关 AWS Secrets Manager 密钥和 AWS KMS 密钥的元数据,包括与密钥关联的任何别名。

 2025 年 4 月 23 日
AWSDataSyncServiceRolePolicy – 更改

DataSync 向 DataSync 服务相关角色 AWSServiceRoleForDataSync 使用的 AWSDataSyncServiceRolePolicy 策略添加了新的权限:

  • secretsmanager:DescribeSecret

  • secretsmanager:GetSecretValue

这些权限允许 DataSync 读取 AWS Secrets Manager 托管密钥的元数据和值。

 2025 年 4 月 15 日
AWSDataSyncServiceRolePolicy:新策略

DataSync 添加了 DataSync 服务相关角色 AWSServiceRoleForDataSync 使用的策略。这项新的托管策略自动为使用增强模式的 DataSync 任务创建 Amazon CloudWatch Logs 日志。

 2024 年 10 月 30 日
AWSDataSyncFullAccess – 更改

DataSync 为 AWSDataSyncFullAccess 增加了新权限:

  • iam:CreateServiceLinkedRole

此权限允许 DataSync 为您创建服务相关角色。

 2024 年 10 月 30 日
AWSDataSyncFullAccess – 更改

DataSync 为 AWSDataSyncFullAccess 增加了新权限:

  • ec2:DescribeRegions

在 AWS 区域 之间为传输创建 DataSync 任务时,通过此权限,您可以在选择加入区域中进行选择。

 2024 年 7 月 22 日
AWSDataSyncFullAccess – 更改

DataSync 为 AWSDataSyncFullAccess 增加了新权限:

  • s3:ListBucketVersions

此权限可让您选择 DataSync 清单的特定版本。

 2024 年 2 月 16 日

AWSDataSyncFullAccess – 更改

DataSync 为以下 AWSDataSyncFullAccess 各项添加了新权限:

  • ec2:DescribeVpcEndpoints

  • elasticfilesystem:DescribeAccessPoints

  • fsx:DescribeStorageVirtualMachines

  • outposts:ListOutposts

  • s3:GetBucketLocation

  • s3-outposts:ListAccessPoints

  • s3-outposts:ListRegionalBuckets

这些权限可帮助您为 Amazon EFS、Amazon FSx for NetApp ONTAP、Amazon S3 和 S3 on Outposts 创建 DataSync 代理和位置。

 2023 年 5 月 2 日

DataSync 已开启跟踪更改

DataSync 为其 AWS 托管策略开启了跟踪更改。

 2021 年 3 月 1 日