Amazon Identity and Access Management (IAM) controla el acceso a los recursos de Amazon Web Services (AWS). Los siguientes fragmentos de código de JSON le muestran las políticas de IAM necesarias para acceder a los recursos concretos empleados por ArcGIS Enterprise.
Ejecutar ArcGIS Enterprise Cloud Builder for AWS
Si ejecuta la aplicación ArcGIS Enterprise Cloud Builder for AWS o ArcGIS Enterprise Cloud Builder Command Line Interface for Amazon Web Services para crear una implementación, cree una política de IAM tal y como se describe a continuación y asígnela a un usuario de IAM. Utilizará estas credenciales de usuario, por ejemplo, Id. de clave de acceso y Clave de acceso secreta, para iniciar sesión en Cloud Builder.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "rds:*", "events:*", "logs:*", "dynamodb:*", "autoscaling:*", "acm:*", "s3:*", "cloudformation:*", "elasticloadbalancing:*", "iam:*", "cloudwatch:*", "ssm:*", "ssmmessages:*", "lambda:*", "route53:*", "ec2:*", "ec2messages:*", "secretsmanager:*" ], "Effect": "Allow", "Resource": "*" } ] }
Plantillas de CloudFormation desde Esri
Cuando ejecuta las plantillas de AWS CloudFormation proporcionadas por Esri, estas crean un rol y una política de IAM para usted. La política se describe a continuación.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "autoscaling:DescribeLaunchConfigurations", "autoscaling:DescribeLifecycleHooks", "autoscaling:DescribeLifecycleHookTypes", "autoscaling:DescribeLoadBalancers", "autoscaling:DescribeTags", "autoscaling:AttachInstances", "autoscaling:AttachLoadBalancers", "autoscaling:AttachLoadBalancerTargetGroups", "autoscaling:CompleteLifecycleAction", "autoscaling:DeleteLifecycleHook", "autoscaling:DetachInstances", "autoscaling:DetachLoadBalancers", "autoscaling:DetachLoadBalancerTargetGroups", "autoscaling:PutLifecycleHook", "autoscaling:UpdateAutoScalingGroup" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "cloudformation:DescribeStacks", "cloudformation:DescribeStackResources", "cloudformation:DescribeStackResource", "cloudformation:SignalResource" ], "Resource": "*", "Effect": "Allow" }, { "Action": "dynamodb:*", "Resource": "*", "Effect": "Allow" }, { "Action": [ "ec2:DescribeAddresses", "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRegions", "ec2:DescribeSubnets", "ec2:DescribeTags", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute", "ec2:ModifyInstanceMetadataOptions", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:StartInstances", "ec2:StopInstances" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "ec2messages:GetEndpoint", "ec2messages:GetMessages", "ec2messages:AcknowledgeMessage", "ec2messages:DeleteMessage", "ec2messages:FailMessage", "ec2messages:SendReply" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "elasticloadbalancing:ConfigureHealthCheck", "elasticloadbalancing:CreateLoadBalancerListeners", "elasticloadbalancing:CreateLoadBalancerPolicy", "elasticloadbalancing:CreateRule", "elasticloadbalancing:DeleteLoadBalancerListeners", "elasticloadbalancing:DeleteLoadBalancerPolicy", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:DescribeLoadBalancerAttributes", "elasticloadbalancing:DescribeLoadBalancerPolicies", "elasticloadbalancing:DescribeRules", "elasticloadbalancing:DescribeTags", "elasticloadbalancing:DescribeTargetGroupAttributes", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DeleteRule", "elasticloadbalancing:DeregisterTargets", "elasticloadbalancing:DeregisterInstancesFromLoadBalancer", "elasticloadbalancing:ModifyListener", "elasticloadbalancing:ModifyLoadBalancerAttributes", "elasticloadbalancing:ModifyRule", "elasticloadbalancing:RegisterTargets", "elasticloadbalancing:RegisterInstancesWithLoadBalancer", "elasticloadbalancing:SetLoadBalancerListenerSSLCertificate", "elasticloadbalancing:SetLoadBalancerPoliciesOfListener", "elasticloadbalancing:SetRulePriorities" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "events:DescribeRule", "events:PutRule", "events:DeleteRule", "events:DisableRule", "events:EnableRule", "events:PutEvents", "events:PutTargets", "events:RemoveTargets" ], "Resource": "*", "Effect": "Allow" }, { "Action": "iam:PassRole", "Resource": "arn:aws:iam::0123456789:role/XXXXXXXX", "Effect": "Allow" }, { "Action": [ "logs:DescribeLogGroups", "logs:DescribeLogStreams", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:PutMetricFilter" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:GetBucketPolicy", "s3:GetObject", "s3:DeleteObjectTagging", "s3:PutBucketTagging", "s3:PutObjectTagging", "s3:CreateBucket", "s3:DeleteBucket", "s3:DeleteObject", "s3:PutObject" ], "Resource": "*", "Effect": "Allow" }, { "Action": "secretsmanager:GetSecretValue", "Resource": "*", "Effect": "Allow" }, { "Action": [ "ssm:ListAssociations", "ssm:DescribeAssociation", "ssm:DescribeDocument", "ssm:DescribeInstanceInformation", "ssm:GetDeployablePatchSnapshotForInstance", "ssm:GetDocument", "ssm:GetManifest", "ssm:GetParameter", "ssm:GetParameters", "ssm:ListCommands", "ssm:ListCommandInvocations", "ssm:ListInstanceAssociations", "ssm:PutConfigurePackageResult", "ssm:DeleteAssociation", "ssm:PutComplianceItems", "ssm:PutInventory", "ssm:SendCommand", "ssm:StartAutomationExecution", "ssm:UpdateAssociationStatus", "ssm:UpdateInstanceAssociationStatus", "ssm:UpdateInstanceInformation" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*", "Effect": "Allow" } ] }
Almacenar el directorio de contenido Portal for ArcGIS en un bucket de S3
Para almacenar el directorio de contenido Portal for ArcGIS en un bucket de Amazon Simple Storage Service (S3), necesita un rol o usuario de IAM con la siguiente política de IAM:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "<statement-id>", "Effect": "Allow", "Action": [ "s3:Get*", "s3:PutObject", "s3:ListBucket", "s3:CreateBucket", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::<portal-content-bucket-name>/*", "arn:aws:s3:::<portal-content-bucket-name>" ] } ] }
Reemplace los valores situados dentro de los corchetes angulares (<>) con valores específicos para su implementación.
La versión del formato de documento de política que se muestra es 2012-10-17. Si cambia la fecha de esta versión, es posible que tenga que cambiar el formato de documento.
Almacenar el directorio del almacén de configuración de ArcGIS Server en S3 y DynamoDB
Para almacenar su directorio del almacén de configuración de ArcGIS Server mediante los servicios de almacenamiento de AWS, necesita un usuario o rol de IAM con la siguiente política de IAM:
{ "Version":"2012-10-17", "Statement":[ { "Sid":"<statement-id1>", "Action":[ "s3:*" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::arcgis-config-store-*", "arn:aws:s3:::arcgis-config-store-*/*" ] }, { "Sid":"<statement-id2>", "Action":[ "dynamodb:*" ], "Effect":"Allow", "Resource":[ "arn:aws:dynamodb:*:*:table/ArcGISConfigStores", "arn:aws:dynamodb:*:*:table/ArcGISConfigStore.*" ] } ] }
Reemplace los valores situados dentro de los corchetes angulares (<>) con valores específicos para su implementación.
La versión del formato de documento de política que se muestra es 2012-10-17. Si cambia la fecha de esta versión, es posible que tenga que cambiar el formato de documento.
Almacenar cachés en un bucket de S3
Para registrar un bucket de S3 como un almacén en la nube para almacenar y acceder a cachés de mapas e imágenes, el usuario o rol de IAM requiere como mínimo la siguiente política de IAM:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "<statement-id>", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:ListBucket", "s3:GetBucketAcl", "s3:GetObjectVersion" ], "Resource": [ "arn:aws:s3:::<cache-bucket-name>/*", "arn:aws:s3:::<cache-bucket-name>" ] } ] }
Reemplace los valores situados dentro de los corchetes angulares (<>) con valores específicos para su implementación.
La versión del formato de documento de política que se muestra es 2012-10-17. Si cambia la fecha de esta versión, es posible que tenga que cambiar el formato de documento.
Usar un bucket de S3 como recurso compartido de archivos de big data
Para registrar un bucket de S3 como un recurso compartido de archivos de big data, el usuario o rol de IAM requiere como mínimo la siguiente política de IAM:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "<statement-id>", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:ListBucket", "s3:CreateBucket", "s3:DeleteBucket", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::<bdfs-bucket-name>/*", "arn:aws:s3:::<bdfs-bucket-name>" ] } ] }
Reemplace los valores situados dentro de los corchetes angulares (<>) con valores específicos para su implementación.
La versión del formato de documento de política que se muestra es 2012-10-17. Si cambia la fecha de esta versión, es posible que tenga que cambiar el formato de documento.
Usar un bucket de S3 como almacén de rásteres
Para registrar un bucket de S3 como un almacén de rásteres, el usuario o rol de IAM requiere como mínimo la siguiente política de IAM:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "<statement-id>", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:ListBucket", "s3:GetBucketAcl", "s3:GetObjectVersion" ], "Resource": [ "arn:aws:s3:::<raster-store-bucket-name>/*", "arn:aws:s3:::<raster-store-bucket-name>" ] } ] }
Reemplace los valores situados dentro de los corchetes angulares (<>) con valores específicos para su implementación.
La versión del formato de documento de política que se muestra es 2012-10-17. Si cambia la fecha de esta versión, es posible que tenga que cambiar el formato de documento.