View a markdown version of this page

Konfigurieren Sie die IAM-Berechtigungen. - Amazon Location Service
Schritt 1: Erstellen einer IAM-RichtlinieSchritt 2: Erstellen Sie eine AusführungsrolleBewährte Methoden für die Gewährleistung der Sicherheit

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren Sie die IAM-Berechtigungen.

Amazon Location Jobs erfordert eine IAM-Ausführungsrolle, die dem Service die Erlaubnis erteilt, auf Ihre Amazon S3 S3-Buckets zuzugreifen. Wenn Sie einen Job ausführen, übernimmt Amazon Location diese Rolle, um in Ihrem Namen Eingabedateien aus Ihrem Eingabe-Bucket zu lesen und Ausgabeergebnisse in Ihren Ausgabe-Bucket zu schreiben. Sie stellen diese Berechtigungen bereit, indem Sie eine IAM-Richtlinie mit den erforderlichen Amazon S3 S3-Berechtigungen erstellen und sie einer IAM-Rolle mit einer Vertrauensrichtlinie zuordnen, die es dem Amazon Location Service ermöglicht, die Rolle zu übernehmen.

Anmerkung

Die Amazon S3 S3-Eingabe- und Ausgabe-Buckets, die Sie erstellen, müssen sich in AWS-Region dem Bereich befinden, in dem Sie Ihre Jobs ausführen möchten. Die IAM-Ressourcen, die Sie erstellen, müssen in demselben Konto erstellt werden.

Schritt 1: Erstellen einer IAM-Richtlinie

Erstellen Sie eine IAM-Richtlinie, die die für Amazon Location-Jobs erforderlichen Berechtigungen gewährt.

So erstellen Sie eine IAM-Richtlinie für Amazon Location-Jobs

  1. Öffnen Sie unter https://console.aws.amazon.com/iam/ die IAM-Konsole.

  2. Wählen Sie im Navigationsbereich Richtlinien.

  3. Wählen Sie Richtlinie erstellen aus.

  4. Wählen Sie die Registerkarte JSON und geben Sie das folgende Richtliniendokument ein, OUTPUT_BUCKET_NAME wobei Sie Ihre Bucket-Namen durch INPUT_BUCKET_NAME und ersetzen:

    {
  "Version": "2012-10-17", 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:ListBucket",
        "s3:GetObjectVersion",
        "s3:GetBucketVersioning"
      ],
      "Resource": [
        "arn:aws:s3:::INPUT_BUCKET_NAME",
        "arn:aws:s3:::INPUT_BUCKET_NAME/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:AbortMultipartUpload"
      ],
      "Resource": [
        "arn:aws:s3:::OUTPUT_BUCKET_NAME/*"
      ]
    }
  ]
}

  5. Wählen Sie Weiter aus.

  6. Geben für Richtlinienname einen beschreibenden Namen wie LocationJobsS3AccessPolicy ein.

  7. Wählen Sie Richtlinie erstellen aus.

In der folgenden Tabelle werden die durch diese Richtlinie gewährten Berechtigungen beschrieben:

Berechtigung Description
s3:GetObject Ermöglicht Amazon Location, Eingabedateien aus Ihrem Eingabe-Bucket zu lesen.
s3:ListBucket Ermöglicht Amazon Location, Dateien in Ihrem Eingabe-Bucket aufzulisten, um alle Eingabedateien für die Verarbeitung zu identifizieren.
s3:GetObjectVersion Ermöglicht Amazon Location den Zugriff auf bestimmte Versionen von Eingabedateien. Erforderlich, da die Versionierung für Ihre Buckets aktiviert sein muss.
s3:GetBucketVersioning Ermöglicht Amazon Location, zu überprüfen, ob die Versionierung in Ihrem Eingabe-Bucket aktiviert ist.
s3:PutObject Ermöglicht Amazon Location, Ausgabeergebnisse in Ihren Ausgabe-Bucket zu schreiben.
s3:AbortMultipartUpload Ermöglicht Amazon Location, fehlgeschlagene mehrteilige Uploads beim Schreiben großer Ausgabedateien zu bereinigen.
Anmerkung

Diese Richtlinie folgt dem Prinzip der geringsten Rechte, indem sie nur die Berechtigungen gewährt, die für das Funktionieren von Amazon Location Jobs erforderlich sind. Die Richtlinie schränkt die Leseberechtigungen auf Ihren Eingabe-Bucket und die Schreibberechtigungen auf Ihren Ausgabe-Bucket ein.

Um eine IAM-Richtlinie zu erstellen, verwenden Sie AWS CLI

  1. Erstellen Sie eine Datei location-jobs-policy.json mit dem folgenden Inhalt, ersetzen Sie dabei Ihre Bucket-Namen INPUT_BUCKET_NAME und OUTPUT_BUCKET_NAME fügen Sie sie hinzu:

    {
  "Version": "2012-10-17", 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:ListBucket",
        "s3:GetObjectVersion",
        "s3:GetBucketVersioning"
      ],
      "Resource": [
        "arn:aws:s3:::INPUT_BUCKET_NAME",
        "arn:aws:s3:::INPUT_BUCKET_NAME/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:AbortMultipartUpload"
      ],
      "Resource": [
        "arn:aws:s3:::OUTPUT_BUCKET_NAME/*"
      ]
    }
  ]
}

  2. Erstellen Sie die Richtlinie:

    aws iam create-policy \
    --policy-name LocationJobsS3AccessPolicy \
    --policy-document file://location-jobs-policy.json

  3. Notieren Sie sich den Richtlinien-ARN aus der Ausgabe. Sie benötigen diesen ARN im nächsten Schritt.

Schritt 2: Erstellen Sie eine Ausführungsrolle

Erstellen Sie eine IAM-Rolle, von der Amazon Location annimmt, dass sie während der Auftragsausführung auf Ihre Amazon S3 S3-Buckets zugreift.

Die Vertrauensrichtlinie ermöglicht es dem Amazon Location Service (geo.amazonaws.com), diese Rolle zu übernehmen. Diese Vertrauensbeziehung ist erforderlich, damit Amazon Location während der Auftragsausführung auf Ihre Amazon S3 S3-Buckets zugreifen kann.

Um eine Ausführungsrolle für Amazon Location-Jobs zu erstellen

  1. Wählen Sie im Navigationsbereich der IAM-Konsole Roles (Rollen) aus.

  2. Wählen Sie Rolle erstellen aus.

  3. Für Trusted entity type (Vertrauenstyp der Entität), wählen Sie Custom trust policy (Benutzerdefinierte Vertrauensrichtlinie).

  4. Geben Sie die folgende Vertrauensrichtlinie ein und ACCOUNT_ID ersetzen Sie sie durch Ihre AWS Konto-ID:

    {
  "Version": "2012-10-17", 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "geo.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "ACCOUNT_ID"
        }
      }
    }
  ]
}

  5. Wählen Sie Weiter aus.

  6. Suchen Sie nach der Richtlinie, die Sie in Schritt 1 erstellt haben, und wählen Sie sie aus (z. B.LocationJobsS3AccessPolicy).

  7. Wählen Sie Weiter aus.

  8. Geben Sie unter Rollenname einen aussagekräftigen Namen ein, z. B. LocationServiceJobExecutionRole

  9. Wählen Sie Rolle erstellen aus.

Um eine Ausführungsrolle mit dem zu erstellen AWS CLI

  1. Erstellen Sie eine Datei trust-policy.json mit dem folgenden Inhalt und ACCOUNT_ID ersetzen Sie sie durch Ihre AWS Konto-ID:

    {
  "Version": "2012-10-17", 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "geo.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "ACCOUNT_ID"
        }
      }
    }
  ]
}

  2. Erstellen Sie die Rolle:

    aws iam create-role \
    --role-name LocationServiceJobExecutionRole \
    --assume-role-policy-document file://trust-policy.json

  3. Hängen Sie die Richtlinie an, die Sie in Schritt 1 erstellt haben (ACCOUNT_IDersetzen Sie sie durch Ihre AWS Konto-ID und LocationJobsS3AccessPolicy durch Ihren Richtliniennamen, falls anders):

    aws iam attach-role-policy \
    --role-name LocationServiceJobExecutionRole \
    --policy-arn arn:aws:iam::ACCOUNT_ID:policy/LocationJobsS3AccessPolicy

  4. Holen Sie sich den Rollen-ARN:

    aws iam get-role \
    --role-name LocationServiceJobExecutionRole \
    --query 'Role.Arn' \
    --output text

  5. Notieren Sie sich den Rollen-ARN aus der Ausgabe. Sie benötigen diesen ARN, wenn Sie Jobs mit dem ExecutionRoleArn Parameter starten.

Notieren Sie sich nach dem Erstellen der Rolle den ARN der Rolle. Sie benötigen diesen ARN, wenn Sie Jobs mit dem ExecutionRoleArn Parameter starten. Weitere Informationen finden Sie unter Eingabedaten vorbereiten.

Bewährte Methoden für die Gewährleistung der Sicherheit

Halten Sie sich bei der Konfiguration von IAM-Berechtigungen für Amazon Location Jobs an die folgenden bewährten Sicherheitsmethoden:

  • Verwenden Sie einen bestimmten Bucket ARNs: Ersetzen Sie die Platzhalter-Bucket-Namen in der Richtlinie durch Ihre tatsächlichen Bucket-Namen, um den Zugriff nur auf die Buckets zu beschränken, die Sie verwenden möchten.

  • Separate Eingabe- und Ausgabe-Buckets: Verwenden Sie unterschiedliche Buckets für Eingabe und Ausgabe, um eine klare Trennung von Lese- und Schreibberechtigungen zu gewährleisten.

  • Amazon S3 S3-Bucket-Versionierung aktivieren: Die Versionierung muss für Ihre Buckets aktiviert sein. Dies ist erforderlich, damit Amazon Location Jobs ordnungsgemäß funktioniert.

  • Verwenden Sie Amazon S3 S3-Bucket-Richtlinien: Fügen Sie Bucket-Richtlinien zu Ihren Amazon S3 S3-Buckets hinzu, um zusätzliche Zugriffskontrollen zu erhalten, die über die IAM-Richtlinien hinausgehen.

  • Rollennutzung überwachen: Wird verwendet, um zu überwachen, wann und wie die Ausführungsrolle von Amazon Location Jobs verwendet wird.