Wenn Sie die Authentifizierung AmazonIdentity and Access Management (IAM) (IAM) verwenden, um auf AWS-Ressourcen zuzugreifen, die in ArcGIS Enterprise-Bereitstellungen verwendet werden, die Sie nicht mit ArcGIS Enterprise for Amazon Web Services-Bereitstellungswerkzeugen konfigurieren, müssen Sie IAM-Rollen und -Richtlinien mithilfe von AWS-Werkzeugen selbst konfigurieren.
Nachfolgend finden Sie einige JSON-Beispielcodeausschnitte für IAM-Richtlinien. Die Beispiele basieren auf der Version des Richtliniendokuments vom 17.10.2012. Wenn Sie eine andere Version verwenden, muss möglicherweise das Dokumentformat geändert werden.
Ersetzen Sie die Werte in spitzen Klammern (<>) durch die für Ihre Bereitstellung spezifischen Werte.
Speichern des Portal for ArcGIS-Inhaltsverzeichnis in einem S3-Bucket
Zum Speichern des Portal for ArcGIS-Inhaltsverzeichnisses in einem Amazon Simple Storage Service (S3)-Bucket benötigen Sie einen IAM-Benutzer oder eine IAM-Rolle mit der folgenden IAM-Richtlinie:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "<statement-id>",
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:PutObject",
"s3:ListBucket",
"s3:CreateBucket",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::<portal-content-bucket-name>/*",
"arn:aws:s3:::<portal-content-bucket-name>"
]
}
]
}Speichern des ArcGIS Server Konfigurationsspeichers in S3 und DynamoDB
Zum Speichern des ArcGIS Server-Konfigurationsspeichers mithilfe von AWS-Services benötigen Sie einen IAM-Benutzer oder eine IAM-Rolle mit der folgenden IAM-Richtlinie:
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"<statement-id1>",
"Action":[
"s3:ListBucket",
"s3: ListMultipartUploadParts",
"s3:GetBucketAct",
"s3:GetBucketLocation",
"s3:GetBucketPolicy",
"s3:GetObject",
"s3:GetLifecycleConfiguration",
"s3:DeleteObjectTagging",
"s3:PutBucketTagging",
"s3:PutObjectTagging",
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:DeleteObject",
"s3:PutObject",
"s3:PutLifecycleConfiguration"
],
"Effect":"Allow",
"Resource":[
"arn:aws:s3:::arcgis-config-store-*",
"arn:aws:s3:::arcgis-config-store-*/*"
]
},
{
"Sid":"<statement-id2>",
"Action":[
"dynamodb:DescribeTable",
"dynamodb:GetItem",
"dynamodb:GetRecords",
"dynamodb:Query",
"dynamodb:CreateTable",
"dynamodb:DeleteItem",
"dynamodb:DeleteTable",
"dynamodb:ListTables",
"dynamodb:PutItem",
"dynamodb:Scan",
"dynamodb:UpdateItem",
"dynamodb:UpdateTable",
"dynamodb:TagResource",
"dynamodb:UntagResource"
],
"Effect":"Allow",
"Resource":[
"arn:aws:dynamodb:*:*:table/*"
]
},
]
}Verwenden eines S3-Buckets als Objektspeicher
Wenn Sie einen S3-Bucket als ArcGIS Enterprise-Systemobjektspeicher der Bereitstellung registrieren möchten, muss der IAM-Benutzer bzw. die IAM-Rolle zumindest die folgende Richtlinie aufweisen:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "<statement-id>",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListMultipartUploadParts",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:GetBucketPolicy",
"s3:GetObject",
"S3:GetLifecycleConfiguration",
"s3:DeleteObjectTagging",
"s3:PutBucketTagging",
"s3:PutObjectTagging",
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:DeleteObject",
"s3:PutObject",
"S3:PutLifecycleConfiguration"
],
"Resource": [
"arn:aws:s3:::<object-bucket-name>/*",
"arn:aws:s3:::<object-bucket-name>"
]
}
]
}Speichern von Caches in einem S3-Bucket
Wenn Sie einen S3-Bucket als Cloud-Speicher zum Speichern und Abrufen von Caches für Karten- und Bilddaten registrieren möchten, muss der IAM-Benutzer oder die IAM-Rolle zumindest die folgende IAM-Richtlinie aufweisen:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "<statement-id>",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:ListBucket",
"s3:ListMultipartUploadParts",
"s3:GetBucketAcl",
"s3:GetObjectVersion",
"s3:GetLifecycleConfiguration",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::<cache-bucket-name>/*",
"arn:aws:s3:::<cache-bucket-name>"
]
}
]
}Verwenden eines S3-Buckets als Raster-Speicher
Wenn Sie einen S3-Bucket als Raster-Speicher registrieren möchten, muss der IAM-Benutzer bzw. die IAM-Rolle zumindest die folgende Richtlinie aufweisen:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "<statement-id>",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:ListBucket",
"s3:GetBucketAcl",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::<raster-store-bucket-name>/*",
"arn:aws:s3:::<raster-store-bucket-name>"
]
}
]
}Verwenden eines S3-Buckets für Sicherungen, die mit dem Dienstprogramm "webgisdr" erstellt wurden
Wenn Sie das mit Portal for ArcGIS installierte Dienstprogramm "webgisdr" zum Erstellen von Sicherungen in einem S3-Bucket auf AWS verwenden, benötigt Ihr IAM-Benutzer bzw. Ihre IAM-Rolle Richtlinien zum Erstellen der Sicherungsdateien und Richtlinien zum Wiederherstellen der Bereitstellung für diese Sicherungsdateien.
Im Folgenden sind die Richtlinieneinstellungen aufgeführt, die mindestens erforderlich sind, wenn das Dienstprogramm "webgisdr" zum Erstellen einer Sicherung in einem S3-Bucket verwendet werden soll:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "<statement-id>",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:ListBucket",
"s3:DeleteObject",
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::<webgisdr-bucket-name>",
"arn:aws:s3:::<portal-content-backup-bucket-name>",
"arn:aws:s3:::<webgisdr-bucket-name>/*",
"arn:aws:s3:::<portal-content-backup-bucket-name>/*"
]
}
]
}Im Folgenden sind die Richtlinieneinstellungen aufgeführt, die mindestens erforderlich sind, wenn das Dienstprogramm "webgisdr" zum Wiederherstellen einer Bereitstellung von den in einem S3-Bucket gespeicherten Sicherungsdateien verwendet werden soll:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "<statement-id>",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:GetBucketAcl",
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::<webgisdr-bucket-name>",
"arn:aws:s3:::<portal-content-backup-bucket-name>",
"arn:aws:s3:::<webgisdr-bucket-name>/*",
"arn:aws:s3:::<portal-content-backup-bucket-name>/*"
]
}
]
}