本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用作業標籤控制 Batch Operations 的許可
為了協助您管理 Amazon S3 Batch Operations 作業,您可以新增「作業標籤」。您可以使用任務標籤控制對批次操作任務的存取,並強制在建立任何任務時套用標籤。
您最多可以將 50 個任務標籤套用至每個批次操作任務。透過使用標籤,您可以設定精細的政策來限制一組能夠編輯作業的使用者。任務標籤可以授與或限制使用者的以下能力:取消任務、啟動處於確認狀態的任務或變更任務的優先順序層級。此外,您可以強制將標籤套用至所有新任務,並為標籤指定允許的鍵值對。您可以使用 AWS Identity and Access Management (IAM) 政策語言來表達所有這些條件。如需詳細資訊,請參閱服務授權參考中的 Amazon S3 的動作、資源和條件索引鍵。
如需依 S3 資源類型列出 S3 API 操作許可的詳細資訊,請參閱Amazon S3 API 操作所需的許可。
下列範例顯示如何使用 S3 批次操作任務標籤授予使用者僅能建立和編輯在特定部門 (例如財務或合規部門) 內執行的任務的許可。您也可以根據與其相關的開發階段指派任務,例如 QA 或生產。
在此範例中,您可以在 IAM 政策中使用 S3 Batch Operations 作業標籤,准許使用者僅能建立和編輯在其部門內執行的作業。您可以根據任務相關的開發階段指派任務,例如 QA 或生產。
下列範例使用以下部門,其中每個部門會以不同的方式使用 Batch Operations:
-
財務
-
合規
-
商業智慧
-
工程設計
透過指派標籤到使用者和資源來控制存取
在本例中,系統管理員使用屬性型存取控制 (ABAC)。ABAC 是一種 IAM 授權策略,透過將標籤連接至使用者 AWS 和資源來定義許可。
系統會為使用者和任務指派下列其中一個部門標籤:
索引鍵:數值
-
department : Finance -
department : Compliance -
department : BusinessIntelligence -
department : Engineering注意
任務標籤鍵與數值皆區分大小寫。
使用 ABAC 存取控制策略,您可以藉由將標籤 department=Finance 與其使用者關聯,以授予財務部門的使用者建立和管理其部門內 S3 批次操作任務的許可。
此外,您可以將受管政策連接至 IAM 使用者,以允許該公司內任何使用者建立或修改各自部門內的 S3 批次操作任務。
此範例中的政策包含三個政策陳述式:
-
政策中的第一個陳述式可讓使用者建立批次操作任務,前提是建立任務請求包含符合其各自部門的任務標籤。這是使用
"${aws:PrincipalTag/department}"語法表示,該語法在政策評估時會以使用者的部門標籤取代。當為("aws:RequestTag/department")請求中的部門標籤提供的數值符合使用者的部門時,即滿足條件。 -
政策中的第二個陳述式可讓使用者變更任務的優先順序或更新任務狀態,只要使用者正在更新的任務符合使用者的部門即可。
-
第三個陳述式可讓使用者隨時透過
PutJobTagging請求更新批次操作任務的標籤,只要 (1) 有保留其部門標籤,(2) 他們正在更新的任務在其部門內。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:CreateJob", "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/department": "${aws:PrincipalTag/department}" } } }, { "Effect": "Allow", "Action": [ "s3:UpdateJobPriority", "s3:UpdateJobStatus" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/department": "${aws:PrincipalTag/department}" } } }, { "Effect": "Allow", "Action": "s3:PutJobTagging", "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/department": "${aws:PrincipalTag/department}", "aws:ResourceTag/department": "${aws:PrincipalTag/department}" } } } ] }
依階段標記批次操作任務,並強制執行工作優先順序限制
所有 S3 批次操作任務都具有數字優先順序,Amazon S3 會用來決定執行任務的順序。在此範例中,您可以限制大多數使用者可以指派給任務的最大優先順序,較高的優先順序範圍會保留給有限的特殊權限使用者,如下所示:
QA 階段優先順序範圍 (低):1-100
生產階段優先順序範圍 (高):1-300
若要進行此動作,請引入一組新標籤來代表任務之階段:
索引鍵:數值
stage : QAstage : Production
建立與更新部門內的低優先順序任務
除了以部門為基礎的限制外,此政策還會引入兩項新的 S3 批次操作任務建立與更新限制:
它允許使用者建立或更新部門中的任務,並有一項新條件要求任務必須包含標籤
stage=QA。它允許使用者建立或更新任務的優先順序,新的優先順序最高為 100。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:CreateJob", "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/department": "${aws:PrincipalTag/department}", "aws:RequestTag/stage": "QA" }, "NumericLessThanEquals": { "s3:RequestJobPriority": 100 } } }, { "Effect": "Allow", "Action": [ "s3:UpdateJobStatus" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/department": "${aws:PrincipalTag/department}" } } }, { "Effect": "Allow", "Action": "s3:UpdateJobPriority", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/department": "${aws:PrincipalTag/department}", "aws:ResourceTag/stage": "QA" }, "NumericLessThanEquals": { "s3:RequestJobPriority": 100 } } }, { "Effect": "Allow", "Action": "s3:PutJobTagging", "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/department" : "${aws:PrincipalTag/department}", "aws:ResourceTag/department": "${aws:PrincipalTag/department}", "aws:RequestTag/stage": "QA", "aws:ResourceTag/stage": "QA" } } }, { "Effect": "Allow", "Action": "s3:GetJobTagging", "Resource": "*" } ] }
建立與更新部門內的高優先順序任務
少數使用者可能需要在 QA 或生產中建立高優先順序的任務。若要支援這項需求,您可以建立受管政策,根據上一節中的低優先順序政策調整該政策。
此政策會執行下列動作:
允許使用者使用標籤
stage=QA或stage=Production來建立或更新其部門中的任務。允許使用者建立或更新任務的優先順序,最多可達 300。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:CreateJob", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:RequestTag/stage": [ "QA", "Production" ] }, "StringEquals": { "aws:RequestTag/department": "${aws:PrincipalTag/department}" }, "NumericLessThanEquals": { "s3:RequestJobPriority": 300 } } }, { "Effect": "Allow", "Action": [ "s3:UpdateJobStatus" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/department": "${aws:PrincipalTag/department}" } } }, { "Effect": "Allow", "Action": "s3:UpdateJobPriority", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:ResourceTag/stage": [ "QA", "Production" ] }, "StringEquals": { "aws:ResourceTag/department": "${aws:PrincipalTag/department}" }, "NumericLessThanEquals": { "s3:RequestJobPriority": 300 } } }, { "Effect": "Allow", "Action": "s3:PutJobTagging", "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/department": "${aws:PrincipalTag/department}", "aws:ResourceTag/department": "${aws:PrincipalTag/department}" }, "ForAnyValue:StringEquals": { "aws:RequestTag/stage": [ "QA", "Production" ], "aws:ResourceTag/stage": [ "QA", "Production" ] } } } ] }
