本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 适用于 Lustre 的 Amazon FSx 托管政策
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## Amazon FSx ServiceRolePolicy
允许 FSx Amazon 代表您管理 AWS 资源。请参阅 [使用适用于 Amazon 的服务相关角色 FSx](using-service-linked-roles.md),了解更多信息。
## AWS 托管策略:Amazon FSx DeleteServiceLinkedRoleAccess
您不能将 `AmazonFSxDeleteServiceLinkedRoleAccess` 附加到自己的 IAM 实体。该策略关联到服务,仅用于该服务的服务关联角色。您不能附加、分离、修改或删除此策略。有关更多信息,请参阅 [使用适用于 Amazon 的服务相关角色 FSx](using-service-linked-roles.md)。
该策略授予管理权限,允许亚马逊 FSx 删除其对 Amazon S3 访问权限的服务关联角色,该角色仅 FSx 供亚马逊用于 Lustre。
**权限详细信息**
此策略包括`iam`允许亚马逊 FSx 查看、删除和查看 Amazon S3 FSx 服务关联角色访问权限的删除状态的权限。
要查看此策略的权限,请参阅《 AWS 托管策略参考指南》FSxDeleteServiceLinkedRoleAccess中的 [Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/FSxDeleteServiceLinkedRoleAccess.html)。
## AWS 托管策略:Amazon FSx FullAccess
您可以将 Amazon 附加FSxFullAccess 到您的 IAM 实体。亚马逊 FSx 还将此政策附加到允许亚马逊 FSx 代表您执行操作的服务角色。
提供对 Amazon 的完全访问权限 FSx 和相关 AWS 服务的访问权限。
**权限详细信息**
该策略包含以下权限。
+ `fsx`— 允许委托人具有执行所有 Amazon FSx 操作的完全访问权限,但以下操作除外。`BypassSnaplockEnterpriseRetention`
+ `ds`— 允许委托人查看有关 Directory Service 目录的信息。
+ `ec2`
+ 允许主体在指定的条件下创建标签。
+ 为可以与 VPC 配合使用的所有安全组提供增强的安全组验证。
+ `iam`— 允许原则代表用户创建 Amazon FSx 服务关联角色。这是必需的,这样 Amazon FSx 才能代表用户管理 AWS 资源。
+ `firehose`:允许主体将记录写入 Amazon Data Firehose。这是必需的,这样用户才能通过向 Firehose 发送审核访问日志来监控 FSx Windows 文件服务器文件系统的访问权限。
+ `logs`:允许主体创建日志组、日志流并将事件写入日志流。这是必需的,这样用户才能通过向日志发送审核访问日志来监控 FSx Windows 文件服务器文件系统的访问权限。 CloudWatch
要查看此策略的权限,请参阅《 AWS 托管策略参考指南》FSxFullAccess中的 [Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxFullAccess.html)。
## AWS 托管策略:Amazon FSx ConsoleFullAccess
您可以将 `AmazonFSxConsoleFullAccess` 策略附加到 IAM 身份。
此政策授予管理权限,允许用户完全访问亚马逊 FSx 并通过访问相关 AWS 服务 AWS 管理控制台。
**权限详细信息**
该策略包含以下权限。
+ `fsx`— 允许委托人在 Amazon FSx 管理控制台中执行所有操作,但以下操作除外。`BypassSnaplockEnterpriseRetention`
+ `cloudwatch`— 允许委托人在 Amazon FSx 管理控制台中查看 CloudWatch 警报和指标。
+ `ds`— 允许委托人列出有关 Directory Service 目录的信息。
+ `ec2`
+ 允许委托人在路由表上创建标签,列出网络接口、路由表、安全组、子网和与 Amazon FSx 文件系统关联的 VPC。
+ 允许主体为可与 VPC 配合使用的所有安全组提供增强的安全组验证。
+ 允许委托人查看与 Amazon FSx 文件系统关联的弹性网络接口。
+ `kms`— 允许委托人列出密钥的别名。 AWS Key Management Service
+ `s3`:允许主体列出 Amazon S3 桶中的部分或全部对象(最多 1000 个)。
+ `iam`— 授予创建服务关联角色的权限,该角色允许 Amazon FSx 代表用户执行操作。
要查看此策略的权限,请参阅《 AWS 托管策略参考指南》FSxConsoleFullAccess中的 [Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleFullAccess.html)。
## AWS 托管策略:Amazon FSx ConsoleReadOnlyAccess
您可以将 `AmazonFSxConsoleReadOnlyAccess` 策略附加到 IAM 身份。
此政策向 Amazon FSx 和相关 AWS 服务授予只读权限,以便用户可以在中查看有关这些服务的信息 AWS 管理控制台。
**权限详细信息**
该策略包含以下权限。
+ `fsx`— 允许委托人在 Amazon FSx 管理控制台中查看有关亚马逊 FSx 文件系统的信息,包括所有标签。
+ `cloudwatch`— 允许委托人在 Amazon FSx 管理控制台中查看 CloudWatch 警报和指标。
+ `ds`— 允许委托人在 Amazon FSx 管理控制台中查看有关 Directory Service 目录的信息。
+ `ec2`
+ 允许委托人在 Amazon FSx 管理控制台中查看网络接口、安全组、子网和与 Amazon FSx 文件系统关联的 VPC。
+ 允许主体为可与 VPC 配合使用的所有安全组提供增强的安全组验证。
+ 允许委托人查看与 Amazon FSx 文件系统关联的弹性网络接口。
+ `kms`— 允许委托人在 Amazon FSx 管理控制台中查看 AWS Key Management Service 密钥的别名。
+ `log`— 允许委托人描述与提出请求的账户关联的 Amazon Logs CloudWatch 日志组。这是必需的,这样委托人才能查看适用于 Windows 文件服务器的文件系统的现有文件访问审核配置。 FSx
+ `firehose`:允许主体描述与发出请求的账户关联的 Amazon Data Firehose 传输流。这是必需的,这样委托人才能查看适用于 Windows 文件服务器的文件系统的现有文件访问审核配置。 FSx
要查看此策略的权限,请参阅《 AWS 托管策略参考指南》FSxConsoleReadOnlyAccess中的 [Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleReadOnlyAccess.html)。
## AWS 托管策略:Amazon FSx ReadOnlyAccess
您可以将 `AmazonFSxReadOnlyAccess` 策略附加到 IAM 身份。
+ `fsx`— 允许委托人在 Amazon FSx 管理控制台中查看有关亚马逊 FSx 文件系统的信息,包括所有标签。
+ `ec2`:为可以与 VPC 配合使用的所有安全组提供增强的安全组验证。
要查看此策略的权限,请参阅《 AWS 托管策略参考指南》FSxReadOnlyAccess中的 [Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxReadOnlyAccess.html)。
## 亚马逊 FSx 更新了托 AWS 管政策
查看 FSx 自该服务开始跟踪这些变更以来亚马逊 AWS 托管政策更新的详细信息。要获取有关此页面变更的自动提醒,请订阅 Amazon FSx [文档历史记录](doc-history.md) 页面上的 RSS 提要。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [亚马逊 FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions)-更新现有政策 | Amazon FSx 添加了一项新权限`ec2:AssignIpv6Addresses`,允许委托人为带有`AmazonFSx.FileSystemId`标签的客户网络接口分配 IPv6 地址。 | 2025 年 7 月 22 日 |
| [亚马逊 FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions)-更新现有政策 | Amazon FSx 添加了一项新权限`ec2:UnassignIpv6Addresses`,允许委托人取消分配 IPv6 带有标签的客户网络接口的地址。`AmazonFSx.FileSystemId` | 2025 年 7 月 22 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-更新现有政策 | Amazon FSx 添加了一项新权限`fsx:CreateAndAttachS3AccessPoint`,允许委托人创建 S3 接入点并将其连接到 FSx 卷。 | 2025 年 6 月 25 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-更新现有政策 | Amazon FSx 添加了一项新权限`fsx:DescribeS3AccessPointAttachments`,允许委托人列出所有 S3 接 AWS 账户 入 AWS 区域点。 | 2025 年 6 月 25 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-更新现有政策 | Amazon FSx 添加了一项新权限`fsx:DetachAndDeleteS3AccessPoint`,允许委托人删除 S3 接入点。 | 2025 年 6 月 25 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-更新现有政策 | Amazon FSx 添加了一项新权限`fsx:CreateAndAttachS3AccessPoint`,允许委托人创建 S3 接入点并将其连接到 FSx 卷。 | 2025 年 6 月 25 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-更新现有政策 | Amazon FSx 添加了一项新权限`fsx:DescribeS3AccessPointAttachments`,允许委托人列出所有 S3 接 AWS 账户 入 AWS 区域点。 | 2025 年 6 月 25 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-更新现有政策 | Amazon FSx 添加了一项新权限`fsx:DetachAndDeleteS3AccessPoint`,允许委托人删除 S3 接入点。 | 2025 年 6 月 25 日 |
| [亚马逊 FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess)-更新现有政策 | Amazon FSx 增加了新权限`ec2:DescribeNetworkInterfaces`,允许委托人查看与其文件系统关联的弹性网络接口。 | 2025 年 2 月 25 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-更新现有政策 | Amazon FSx 增加了新权限`ec2:DescribeNetworkInterfaces`,允许委托人查看与其文件系统关联的弹性网络接口。 | 2025 年 2 月 7 日 |
| [亚马逊 FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions)-更新现有政策 | Amazon FSx 增加了新权限`ec2:GetSecurityGroupsForVpc`,允许委托人对可用于 VPC 的所有安全组提供增强的安全组验证。 | 2024 年 1 月 9 日 |
| [亚马逊 FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess)-更新现有政策 | Amazon FSx 增加了新权限`ec2:GetSecurityGroupsForVpc`,允许委托人对可用于 VPC 的所有安全组提供增强的安全组验证。 | 2024 年 1 月 9 日 |
| [亚马逊 FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess)-更新现有政策 | Amazon FSx 增加了新权限`ec2:GetSecurityGroupsForVpc`,允许委托人对可用于 VPC 的所有安全组提供增强的安全组验证。 | 2024 年 1 月 9 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-更新现有政策 | Amazon FSx 增加了新权限`ec2:GetSecurityGroupsForVpc`,允许委托人对可用于 VPC 的所有安全组提供增强的安全组验证。 | 2024 年 1 月 9 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-更新现有政策 | Amazon FSx 增加了新权限`ec2:GetSecurityGroupsForVpc`,允许委托人对可用于 VPC 的所有安全组提供增强的安全组验证。 | 2024 年 1 月 9 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-更新现有政策 | 亚马逊 FSx 增加了新的权限,允许用户对 OpenZFS 文件系统执行跨区域和跨账户数据复制。 FSx | 2023 年 12 月 20 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-更新现有政策 | 亚马逊 FSx 增加了新的权限,允许用户对 OpenZFS 文件系统执行跨区域和跨账户数据复制。 FSx | 2023 年 12 月 20 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-更新现有政策 | Amazon FSx 增加了新的权限,允许用户按需复制 OpenZFS 文件系统的卷。 FSx | 2023 年 11 月 26 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-更新现有政策 | Amazon FSx 增加了新的权限,允许用户按需复制 OpenZFS 文件系统的卷。 FSx | 2023 年 11 月 26 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-更新现有政策 | Amazon FSx 添加了新的权限,使用户能够查看、启用和禁用 ONTAP 多可用区文件 FSx 系统的共享 VPC 支持。 | 2023 年 11 月 14 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-更新现有政策 | Amazon FSx 添加了新的权限,使用户能够查看、启用和禁用 ONTAP 多可用区文件 FSx 系统的共享 VPC 支持。 | 2023 年 11 月 14 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-更新现有政策 | 亚马逊 FSx 增加了新的权限, FSx 允许亚马逊管理 OpenZFS 多可用区文件系统的网络配置。 FSx | 2023 年 8 月 9 日 |
| [AWS 托管策略:Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — 更新现有政策 | 亚马逊 FSx 修改了现有`cloudwatch:PutMetricData`权限,以便亚马逊将 CloudWatch 指标 FSx 发布到`AWS/FSx`命名空间。 | 2023 年 7 月 24 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-更新现有政策 | Amazon FSx 更新了政策,删除了`fsx:*`权限并添加了具体`fsx`操作。 | 2023 年 7 月 13 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-更新现有政策 | Amazon FSx 更新了政策,删除了`fsx:*`权限并添加了具体`fsx`操作。 | 2023 年 7 月 13 日 |
| [亚马逊 FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess)-更新现有政策 | 亚马逊 FSx 增加了新的权限,使用户能够在亚马逊 FSx 控制台中查看 Windows 文件服务器文件系统的增强性能指标和建议的操作。 FSx | 2022 年 9 月 21 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-更新现有政策 | 亚马逊 FSx 增加了新的权限,使用户能够在亚马逊 FSx 控制台中查看 Windows 文件服务器文件系统的增强性能指标和建议的操作。 FSx | 2022 年 9 月 21 日 |
| [亚马逊 FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess)-开始追踪政策 | 该政策授予对所有 Amazon FSx 资源以及与之关联的任何标签的只读访问权限。 | 2022 年 2 月 4 日 |
| [亚马逊 FSx DeleteServiceLinkedRoleAccess](#security-iam-awsmanpol-AmazonFSxDeleteServiceLinkedRoleAccess)-开始追踪政策 | 此策略授予管理权限, FSx 允许亚马逊删除其对 Amazon S3 访问权限的服务关联角色。 | 2022 年 1 月 7 日 |
| [亚马逊 FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions)-更新现有政策 | 亚马逊 FSx 增加了新的权限, FSx 允许亚马逊管理适用 FSx 于 NetApp ONTAP 文件系统的亚马逊网络配置。 | 2021 年 9 月 2 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-更新现有政策 | Amazon FSx 增加了新的权限,允许 Amazon FSx 在 EC2 路由表上创建标签,从而缩小了调用范围。 | 2021 年 9 月 2 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-更新现有政策 | 亚马逊 FSx 添加了新的权限, FSx 允许亚马逊为 NetApp ONTAP 多可用区文件系统创建亚马逊 FSx 。 | 2021 年 9 月 2 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-更新现有政策 | Amazon FSx 增加了新的权限,允许 Amazon FSx 在 EC2 路由表上创建标签,从而缩小了调用范围。 | 2021 年 9 月 2 日 |
| [亚马逊 FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions)-更新现有政策 | Amazon FSx 添加了新的权限 FSx ,允许亚马逊描述和写入 CloudWatch 日志流。 这是必需的,这样用户才能使用日志查看 Windows 文件服务器文件系统的文件访问审核 CloudWatch 日志。 FSx | 2021 年 6 月 8 日 |
| [亚马逊 FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions)-更新现有政策 | 亚马逊 FSx 增加了新的权限,允许亚马逊描述和写 FSx 入亚马逊 Data Firehose 传送流。 这是必需的,这样用户才能使用 Amazon Data Firehose 查看 FSx 适用于 Windows 文件服务器的文件系统的文件访问审核日志。 | 2021 年 6 月 8 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-更新现有政策 | Amazon FSx 增加了新的权限,允许委托人描述和创建 CloudWatch 日志组、日志流以及将事件写入日志流。 这是必需的,这样委托人才能使用日志查看 Windows 文件服务器文件系统的文件访问审核 CloudWatch 日志。 FSx | 2021 年 6 月 8 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-更新现有政策 | 亚马逊 FSx 增加了新的权限,允许委托人向亚马逊数据 Firehose 描述和写入记录。 这是必需的,这样用户才能使用 Amazon Data Firehose 查看 FSx 适用于 Windows 文件服务器的文件系统的文件访问审核日志。 | 2021 年 6 月 8 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-更新现有政策 | Amazon FSx 增加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Logs CloudWatch 日志组。 这是必需的,这样委托人才能在为 Windows 文件服务器文件系统配置文件访问审计时选择现有的 CloudWatch 日志日志组。 FSx | 2021 年 6 月 8 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-更新现有政策 | 亚马逊 FSx 增加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Data Firehose 传输流。 这是必需的,这样委托人才能在为 Windows 文件服务器文件系统配置文件访问审计时选择现有的 Fire FSx hose 传送流。 | 2021 年 6 月 8 日 |
| [亚马逊 FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess)-更新现有政策 | Amazon FSx 增加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Logs CloudWatch 日志组。 这是必需的,这样委托人才能查看适用于 Windows 文件服务器的文件系统的现有文件访问审核配置。 FSx | 2021 年 6 月 8 日 |
| [亚马逊 FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess)-更新现有政策 | 亚马逊 FSx 增加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Data Firehose 传输流。 这是必需的,这样委托人才能查看适用于 Windows 文件服务器的文件系统的现有文件访问审核配置。 FSx | 2021 年 6 月 8 日 |
| 亚马逊 FSx 开始追踪变更 | 亚马逊 FSx 开始跟踪其 AWS 托管政策的变更。 | 2021 年 6 月 8 日 |