本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Amazon FSx for Lustre 的 受管政策
<a name="security-iam-awsmanpol"></a>

 AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可，以便您可以開始將許可指派給使用者、群組和角色。

請記住， AWS 受管政策可能不會授予特定使用案例的最低權限許可，因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)，以便進一步減少許可。

您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新 AWS 受管政策中定義的許可，則更新會影響政策連接的所有委託人身分 （使用者、群組和角色）。當新的 AWS 服務 啟動或新的 API 操作可供現有 服務使用時， AWS 最有可能更新 AWS 受管政策。

如需詳細資訊，請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

## AmazonFSxServiceRolePolicy
<a name="security-iam-awsmanpol-AmazonFSxServiceRolePolicy"></a>

允許 Amazon FSx 代表您管理 AWS 資源。如需進一步了解，請參閱[使用 Amazon FSx 的服務連結角色](using-service-linked-roles.md)。

## AWS 受管政策：AmazonFSxDeleteServiceLinkedRoleAccess
<a name="security-iam-awsmanpol-AmazonFSxDeleteServiceLinkedRoleAccess"></a>

您不得將 `AmazonFSxDeleteServiceLinkedRoleAccess` 連接到 IAM 實體。此政策會連結至 服務，並僅用於該服務的服務連結角色。您無法連接、取消連接、修改或刪除此政策。如需詳細資訊，請參閱[使用 Amazon FSx 的服務連結角色](using-service-linked-roles.md)。

此政策授予管理許可，允許 Amazon FSx 刪除其 Amazon S3 存取的服務連結角色，僅供 Amazon FSx for Lustre 使用。

**許可詳細資訊**

此政策包含 中的許可`iam`，允許 Amazon FSx 檢視、刪除和檢視 FSx Service Linked Roles for Amazon S3 存取的刪除狀態。

若要檢視此政策的許可，請參閱《 AWS 受管政策參考指南》中的 [AmazonFSxDeleteServiceLinkedRoleAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/FSxDeleteServiceLinkedRoleAccess.html)。

## AWS 受管政策：AmazonFSxFullAccess
<a name="security-iam-awsmanpol-AmazonFSxFullAccess"></a>

您可以將 AmazonFSxFullAccess 連接至您的 IAM 實體。Amazon FSx 也會將此政策連接至允許 Amazon FSx 代表您執行動作的服務角色。

提供 Amazon FSx 的完整存取權和相關 AWS 服務的存取權。

**許可詳細資訊**

此政策包含以下許可。
+ `fsx` – 允許主體完整存取以執行所有 Amazon FSx 動作，但 除外`BypassSnaplockEnterpriseRetention`。
+ `ds` – 允許主體檢視 Directory Service 目錄的相關資訊。
+ `ec2`
  + 允許主體在指定的條件下建立標籤。
  + 為所有可與 VPC 搭配使用的安全群組提供增強型安全群組驗證。
+ `iam` – 允許原則代表使用者建立 Amazon FSx 服務連結角色。這是必要的，以便 Amazon FSx 可以代表使用者管理 AWS 資源。
+ `firehose` – 允許主體將記錄寫入 Amazon Data Firehose。這是必要的，讓使用者可以透過傳送稽核存取日誌到 Firehose 來監控 FSx for Windows File Server 檔案系統存取。
+ `logs` – 允許主體建立日誌群組、日誌串流，以及將事件寫入日誌串流。這是必要的，讓使用者可以透過將稽核存取日誌傳送至 CloudWatch Logs 來監控 FSx for Windows File Server 檔案系統存取。

若要檢視此政策的許可，請參閱《 AWS 受管政策參考指南》中的 [AmazonFSxFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxFullAccess.html)。

## AWS 受管政策：AmazonFSxConsoleFullAccess
<a name="security-iam-awsmanpol-AmazonFSxConsoleFullAccess"></a>

您可將 `AmazonFSxConsoleFullAccess` 政策連接到 IAM 身分。

此政策會授予管理許可，以允許完整存取 Amazon FSx 並透過 存取相關 AWS 服務 AWS 管理主控台。

**許可詳細資訊**

此政策包含以下許可。




+ `fsx` – 允許主體在 Amazon FSx 管理主控台中執行所有動作，但 除外`BypassSnaplockEnterpriseRetention`。
+ `cloudwatch` – 允許主體在 Amazon FSx 管理主控台中檢視 CloudWatch 警示和指標。
+ `ds` – 允許主體列出 Directory Service 目錄的相關資訊。
+ `ec2`
  + 允許主體在路由表上建立標籤、列出網路介面、路由表、安全群組、子網路以及與 Amazon FSx 檔案系統相關聯的 VPC。
  + 允許主體為所有可與 VPC 搭配使用的安全群組提供增強型安全群組驗證。
  + 允許主體檢視與 Amazon FSx 檔案系統相關聯的彈性網路介面。
+ `kms` – 允許主體列出 AWS Key Management Service 金鑰的別名。
+ `s3` – 允許主體列出 Amazon S3 儲存貯體中的部分或全部物件 （最多 1000 個）。
+ `iam` – 准許建立服務連結角色，以允許 Amazon FSx 代表使用者執行動作。

若要檢視此政策的許可，請參閱《 AWS 受管政策參考指南》中的 [AmazonFSxConsoleFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleFullAccess.html)。

## AWS 受管政策：AmazonFSxConsoleReadOnlyAccess
<a name="security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess"></a>

您可將 `AmazonFSxConsoleReadOnlyAccess` 政策連接到 IAM 身分。

此政策會授予 Amazon FSx 和相關 AWS 服務的唯讀許可，讓使用者可以在 中檢視這些服務的相關資訊 AWS 管理主控台。

**許可詳細資訊**

此政策包含以下許可。




+ `fsx` – 允許主體在 Amazon FSx 管理主控台中檢視 Amazon FSx 檔案系統的相關資訊，包括所有標籤。
+ `cloudwatch` – 允許主體在 Amazon FSx 管理主控台中檢視 CloudWatch 警示和指標。
+ `ds` – 允許主體在 Amazon FSx 管理主控台中檢視 Directory Service 目錄的相關資訊。
+ `ec2`
  + 允許主體在 Amazon FSx 管理主控台中檢視與 Amazon FSx 檔案系統相關聯的網路介面、安全群組、子網路和 VPC。
  + 允許主體為所有可與 VPC 搭配使用的安全群組提供增強型安全群組驗證。
  + 允許主體檢視與 Amazon FSx 檔案系統相關聯的彈性網路介面。
+ `kms` – 允許主體在 Amazon FSx 管理主控台中檢視 AWS Key Management Service 金鑰的別名。
+ `log` – 允許主體描述與發出請求的帳戶相關聯的 Amazon CloudWatch Logs 日誌群組。這是必要的，以便主體可以檢視 FSx for Windows File Server 檔案系統的現有檔案存取稽核組態。
+ `firehose` – 允許主體描述與提出請求的帳戶相關聯的 Amazon Data Firehose 交付串流。這是必要的，以便主體可以檢視 FSx for Windows File Server 檔案系統的現有檔案存取稽核組態。



若要檢視此政策的許可，請參閱《 AWS 受管政策參考指南》中的 [AmazonFSxConsoleReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleReadOnlyAccess.html)。

## AWS 受管政策：AmazonFSxReadOnlyAccess
<a name="security-iam-awsmanpol-AmazonFSxReadOnlyAccess"></a>

您可將 `AmazonFSxReadOnlyAccess` 政策連接到 IAM 身分。
+ `fsx` – 允許主體在 Amazon FSx 管理主控台中檢視 Amazon FSx 檔案系統的相關資訊，包括所有標籤。
+ `ec2` – 為所有可與 VPC 搭配使用的安全群組提供增強型安全群組驗證。

若要檢視此政策的許可，請參閱《 AWS 受管政策參考指南》中的 [AmazonFSxReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxReadOnlyAccess.html)。

## AWS 受管政策的 Amazon FSx 更新
<a name="security-iam-awsmanpol-updates"></a>

檢視自此服務開始追蹤 Amazon FSx AWS 受管政策更新以來的詳細資訊。如需此頁面變更的自動提醒，請訂閱 Amazon FSx [文件歷史記錄](doc-history.md)頁面上的 RSS 摘要。


| 變更 | 描述 | Date | 
| --- | --- | --- | 
| [AmazonFSxServiceRolePolicy](using-service-linked-roles.md#slr-permissions) – 更新至現有政策 | Amazon FSx 新增了新的許可，`ec2:AssignIpv6Addresses`允許主體將 IPv6 地址指派給具有 `AmazonFSx.FileSystemId`標籤的客戶網路介面。 | 2025 年 7 月 22 日 | 
| [AmazonFSxServiceRolePolicy](using-service-linked-roles.md#slr-permissions) – 更新至現有政策 | Amazon FSx 新增了新的許可，`ec2:UnassignIpv6Addresses`允許主體從具有 `AmazonFSx.FileSystemId`標籤的客戶網路介面取消指派 IPv6 地址。 | 2025 年 7 月 22 日 | 
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) – 更新至現有政策 | Amazon FSx 新增了新的許可，`fsx:CreateAndAttachS3AccessPoint`允許主體建立 S3 存取點並將其連接到 FSx 磁碟區。 | 2025 年 6 月 25 日 | 
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) – 更新現有政策 | Amazon FSx 新增了新的許可，`fsx:DescribeS3AccessPointAttachments`允許主體在 中列出 AWS 帳戶 中的所有 S3 存取點 AWS 區域。 | 2025 年 6 月 25 日 | 
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) – 更新至現有政策 | Amazon FSx 新增了`fsx:DetachAndDeleteS3AccessPoint`允許主體刪除 S3 存取點的新許可。 | 2025 年 6 月 25 日 | 
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) – 更新現有政策 | Amazon FSx 新增了新的許可，`fsx:CreateAndAttachS3AccessPoint`允許主體建立 S3 存取點並將其連接到 FSx 磁碟區。 | 2025 年 6 月 25 日 | 
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) – 更新現有政策 | Amazon FSx 新增了新的許可，`fsx:DescribeS3AccessPointAttachments`允許主體在 中列出 AWS 帳戶 中的所有 S3 存取點 AWS 區域。 | 2025 年 6 月 25 日 | 
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) – 更新現有政策 | Amazon FSx 新增了`fsx:DetachAndDeleteS3AccessPoint`允許主體刪除 S3 存取點的新許可。 | 2025 年 6 月 25 日 | 
| [AmazonFSxConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) – 更新至現有政策 | Amazon FSx 新增了新的許可，`ec2:DescribeNetworkInterfaces`允許主體檢視與其檔案系統相關聯的彈性網路介面。 | 2025 年 2 月 25 日 | 
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) – 更新現有政策 | Amazon FSx 新增了新的許可，`ec2:DescribeNetworkInterfaces`允許主體檢視與其檔案系統相關聯的彈性網路介面。 | 2025 年 2 月 7 日 | 
| [AmazonFSxServiceRolePolicy](using-service-linked-roles.md#slr-permissions) – 更新至現有政策 | Amazon FSx 新增了新的許可，`ec2:GetSecurityGroupsForVpc`允許主體為所有可與 VPC 搭配使用的安全群組提供增強型安全群組驗證。 | 2024 年 1 月 9 日 | 
| [AmazonFSxReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess) – 更新現有政策 | Amazon FSx 新增了新的許可，`ec2:GetSecurityGroupsForVpc`允許主體為所有可與 VPC 搭配使用的安全群組提供增強型安全群組驗證。 | 2024 年 1 月 9 日 | 
| [AmazonFSxConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) – 更新現有政策 | Amazon FSx 新增了新的許可，`ec2:GetSecurityGroupsForVpc`允許主體為所有可與 VPC 搭配使用的安全群組提供增強型安全群組驗證。 | 2024 年 1 月 9 日 | 
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) – 更新現有政策 | Amazon FSx 新增了新的許可，`ec2:GetSecurityGroupsForVpc`允許主體為所有可與 VPC 搭配使用的安全群組提供增強型安全群組驗證。 | 2024 年 1 月 9 日 | 
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) – 更新現有政策 | Amazon FSx 新增了新的許可，`ec2:GetSecurityGroupsForVpc`允許主體為所有可與 VPC 搭配使用的安全群組提供增強型安全群組驗證。 | 2024 年 1 月 9 日 | 
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) – 更新現有政策 | Amazon FSx 新增了新的許可，讓使用者能夠為 FSx for OpenZFS 檔案系統執行跨區域和跨帳戶資料複寫。 | 2023 年 12 月 20 日 | 
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) – 更新現有政策 | Amazon FSx 新增了新的許可，讓使用者能夠為 FSx for OpenZFS 檔案系統執行跨區域和跨帳戶資料複寫。 | 2023 年 12 月 20 日 | 
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) – 更新現有政策 | Amazon FSx 新增了新許可，讓使用者能夠執行 FSx for OpenZFS 檔案系統的隨需磁碟區複寫。 | 2023 年 11 月 26 日 | 
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) – 更新至現有政策 | Amazon FSx 新增了新許可，讓使用者能夠執行 FSx for OpenZFS 檔案系統的隨需磁碟區複寫。 | 2023 年 11 月 26 日 | 
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) – 更新現有政策 | Amazon FSx 新增了新的許可，讓使用者能夠檢視、啟用和停用 FSx for ONTAP 多可用區域檔案系統的共用 VPC 支援。 | 2023 年 11 月 14 日 | 
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) – 更新至現有政策 | Amazon FSx 新增了新的許可，讓使用者能夠檢視、啟用和停用 FSx for ONTAP 多可用區域檔案系統的共用 VPC 支援。 | 2023 年 11 月 14 日 | 
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) – 更新現有政策 | Amazon FSx 新增了新的許可，以允許 Amazon FSx 管理 FSx for OpenZFS 多可用區域檔案系統的網路組態。 | 2023 年 8 月 9 日 | 
| [AWS 受管政策：AmazonFSxServiceRolePolicy](using-service-linked-roles.md#slr-permissions) – 更新至現有政策 | Amazon FSx 修改了現有的`cloudwatch:PutMetricData`許可，以便 Amazon FSx 將 CloudWatch 指標發佈到`AWS/FSx`命名空間。 | 2023 年 7 月 24 日 | 
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) – 更新現有政策 | Amazon FSx 已更新政策以移除`fsx:*`許可並新增特定`fsx`動作。 | 2023 年 7 月 13 日 | 
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) – 更新現有政策 | Amazon FSx 已更新政策以移除`fsx:*`許可並新增特定`fsx`動作。 | 2023 年 7 月 13 日 | 
| [AmazonFSxConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) – 更新至現有政策 | Amazon FSx 新增了新的許可，讓使用者能夠在 Amazon FSx 主控台中檢視 FSx for Windows File Server 檔案系統的增強效能指標和建議動作。 | 2022 年 9 月 21 日 | 
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) – 更新現有政策 | Amazon FSx 新增了新的許可，讓使用者能夠在 Amazon FSx 主控台中檢視 FSx for Windows File Server 檔案系統的增強效能指標和建議動作。 | 2022 年 9 月 21 日 | 
| [AmazonFSxReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess) – 開始追蹤政策 | 此政策會授予所有 Amazon FSx 資源的唯讀存取權，以及與其相關聯的任何標籤。 | 2022 年 2 月 4 日 | 
| [AmazonFSxDeleteServiceLinkedRoleAccess](#security-iam-awsmanpol-AmazonFSxDeleteServiceLinkedRoleAccess) – 開始追蹤政策 | 此政策授予管理許可，允許 Amazon FSx 刪除其 Amazon S3 存取的服務連結角色。 | 2022 年 1 月 7 日 | 
| [AmazonFSxServiceRolePolicy](using-service-linked-roles.md#slr-permissions) – 更新至現有政策 | Amazon FSx 新增了新的許可，以允許 Amazon FSx 管理 Amazon FSx for NetApp ONTAP 檔案系統的網路組態。 | 2021 年 9 月 2 日 | 
| [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) – 更新現有政策 | Amazon FSx 新增了新的許可，以允許 Amazon FSx 在 EC2 路由表上為範圍縮小的呼叫建立標籤。 | 2021 年 9 月 2 日 | 
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) – 更新至現有政策 | Amazon FSx 新增了允許 Amazon FSx 建立 Amazon FSx for NetApp ONTAP 多可用區域檔案系統的許可。 | 2021 年 9 月 2 日 | 
| [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) – 更新現有政策 | Amazon FSx 新增了新的許可，以允許 Amazon FSx 在 EC2 路由表上為範圍縮小的呼叫建立標籤。 | 2021 年 9 月 2 日 | 
|  [AmazonFSxServiceRolePolicy](using-service-linked-roles.md#slr-permissions) – 更新至現有政策  |  Amazon FSx 新增了允許 Amazon FSx 描述和寫入 CloudWatch Logs 日誌串流的許可。 這是必要的，讓使用者可以使用 CloudWatch Logs 檢視 FSx for Windows File Server 檔案系統的檔案存取稽核日誌。  | 2021 年 6 月 8 日 | 
|  [AmazonFSxServiceRolePolicy](using-service-linked-roles.md#slr-permissions) – 更新至現有政策  |  Amazon FSx 新增了允許 Amazon FSx 描述和寫入 Amazon Data Firehose 交付串流的許可。 這是必要的，讓使用者可以使用 Amazon Data Firehose 檢視 FSx for Windows File Server 檔案系統的檔案存取稽核日誌。  | 2021 年 6 月 8 日 | 
|  [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) – 更新現有政策  |  Amazon FSx 新增了新的許可，允許主體描述和建立 CloudWatch Logs 日誌群組、日誌串流，以及將事件寫入日誌串流。 這是必要的，以便主體可以使用 CloudWatch Logs 檢視 FSx for Windows File Server 檔案系統的檔案存取稽核日誌。  | 2021 年 6 月 8 日 | 
|  [AmazonFSxFullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) – 更新現有政策  |  Amazon FSx 新增了新的許可，允許主體描述記錄並將其寫入 Amazon Data Firehose。 這是必要的，讓使用者可以使用 Amazon Data Firehose 檢視 FSx for Windows File Server 檔案系統的檔案存取稽核日誌。  | 2021 年 6 月 8 日 | 
|  [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) – 更新現有政策  |  Amazon FSx 新增了新的許可，允許主體描述與提出請求的帳戶相關聯的 Amazon CloudWatch Logs 日誌群組。 這是必要的，以便主體在設定 FSx for Windows File Server 檔案系統的檔案存取稽核時，可以選擇現有的 CloudWatch Logs 日誌群組。  | 2021 年 6 月 8 日 | 
|  [AmazonFSxConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) – 更新現有政策  |  Amazon FSx 新增了新的許可，允許主體描述與提出請求的帳戶相關聯的 Amazon Data Firehose 交付串流。 這是必要的，以便主體在設定 FSx for Windows File Server 檔案系統的檔案存取稽核時，可以選擇現有的 Firehose 交付串流。  | 2021 年 6 月 8 日 | 
|  [AmazonFSxConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) – 更新至現有政策  |  Amazon FSx 新增了新的許可，允許主體描述與提出請求的帳戶相關聯的 Amazon CloudWatch Logs 日誌群組。 這是必要的，以便主體可以檢視 FSx for Windows File Server 檔案系統的現有檔案存取稽核組態。  | 2021 年 6 月 8 日 | 
|  [AmazonFSxConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) – 更新至現有政策  |  Amazon FSx 新增了新的許可，允許主體描述與提出請求的帳戶相關聯的 Amazon Data Firehose 交付串流。 這是必要的，以便主體可以檢視 FSx for Windows File Server 檔案系統的現有檔案存取稽核組態。  | 2021 年 6 月 8 日 | 
|  Amazon FSx 已開始追蹤變更  |  Amazon FSx 開始追蹤其 AWS 受管政策的變更。  | 2021 年 6 月 8 日 |