Bewährte Methoden für die Arbeit mit Active Directory - FSx für ONTAP
Delegieren von Berechtigungen an Ihr FSx Amazon-ServicekontoHalten Sie eine AD-Konfiguration auf dem neuesten StandBeschränken Sie den Verkehr innerhalb einer VPC mit SicherheitsgruppenRegeln für Sicherheitsgruppen für ausgehenden Datenverkehr erstellenSpeichern von Active Directory-Anmeldeinformationen mit AWS Secrets Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Arbeit mit Active Directory

Im Folgenden finden Sie einige Vorschläge und Richtlinien, die Sie berücksichtigen sollten, wenn Sie Amazon FSx for NetApp ONTAP SVMs zu Ihrem selbstverwalteten Microsoft Active Directory hinzufügen. Beachten Sie, dass diese als bewährte Methoden empfohlen werden, aber nicht erforderlich sind.

Delegieren von Berechtigungen an Ihr FSx Amazon-Servicekonto

Stellen Sie sicher, dass Sie das Servicekonto, das Sie Amazon zur Verfügung stellen, FSx mit den erforderlichen Mindestberechtigungen konfigurieren. Trennen Sie außerdem die Organisationseinheit (OU) von anderen Aspekten des Domain-Controllers.

Um Amazon Ihrer Domain FSx SVMs hinzuzufügen, stellen Sie sicher, dass das Servicekonto über delegierte Berechtigungen verfügt. Mitglieder der Gruppe Domain-Admins verfügen über ausreichende Berechtigungen, um diese Aufgabe auszuführen. Es hat sich jedoch bewährt, ein Dienstkonto zu verwenden, das nur über die dafür erforderlichen Mindestberechtigungen verfügt. Das folgende Verfahren zeigt, wie Sie nur die Berechtigungen delegieren, die FSx für den Beitritt zu ONTAP SVMs an Ihre Domain erforderlich sind.

Führen Sie dieses Verfahren auf einem Computer aus, der zu Ihrem Verzeichnis hinzugefügt wurde und auf dem das MMC-Snap-In Active Directory-Benutzer und -Computer installiert ist.

So erstellen Sie ein Dienstkonto für Ihre Microsoft Active Directory-Domäne

  1. Stellen Sie sicher, dass Sie als Domänenadministrator für Ihre Microsoft Active Directory-Domäne angemeldet sind.

  2. Öffnen Sie das MMC-Snap-In „Active Directory-Benutzer und -Computer“.

  3. Erweitern Sie im Aufgabenbereich den Domänenknoten.

  4. Suchen und öffnen Sie das Kontextmenü (mit der rechten Maustaste) für die Organisationseinheit, die Sie ändern möchten, und wählen Sie dann Delegate Control aus.

  5. Wählen Sie auf der Seite des Assistenten zum Delegieren der Steuerung die Option Weiter aus.

  6. Wählen Sie Hinzufügen, um einen bestimmten Benutzer oder eine bestimmte Gruppe für Ausgewählte Benutzer und Gruppen hinzuzufügen, und klicken Sie dann auf Weiter.

  7. Wählen Sie auf der Seite Zu delegierende Aufgabe die Option Eine zu delegierende benutzerdefinierte Aufgabe erstellen aus und klicken Sie auf Weiter.

  8. Wählen Sie Nur die folgenden Objekte im Ordner und anschließend Computerobjekte aus.

  9. Wählen Sie Ausgewählte Objekte in diesem Ordner erstellen und Ausgewählte Objekte in diesem Ordner löschen. Klicken Sie anschließend auf Weiter.

  10. Stellen Sie sicher, dass unter Diese Berechtigungen anzeigen die Optionen Allgemein und Eigenschaftsspezifisch ausgewählt sind.

  11. Wählen Sie für Berechtigungen Folgendes aus:

    • Passwort zurücksetzen

    • Kontoeinschränkungen beim Lesen und Schreiben

    • Validiertes Schreiben in den DNS-Hostnamen

    • Das Schreiben in den Dienstprinzipalnamen wurde validiert

    • Schreiben Sie MSDs- SupportedEncryptionTypes

  12. Wählen Sie Next (Weiter) und danach Finish (Beenden).

  13. Schließen Sie das MMC-Snap-In „Active Directory-Benutzer und -Computer“.

Wichtig

Verschieben Sie keine Computerobjekte, die Amazon FSx nach Ihrer SVMs Erstellung in der Organisationseinheit erstellt. Wenn Sie das tun SVMs , werden Sie falsch konfiguriert.

Halten Sie Ihre Active Directory-Konfiguration mit Amazon auf dem neuesten Stand FSx

Um eine ununterbrochene Verfügbarkeit Ihres Amazon zu gewährleisten FSx SVMs, aktualisieren Sie die selbstverwaltete Active Directory-Konfiguration (AD) einer SVM, wenn Sie Ihr selbstverwaltetes AD-Setup ändern.

Nehmen wir zum Beispiel an, dass Ihr AD eine zeitbasierte Richtlinie zum Zurücksetzen von Passwörtern verwendet. Stellen Sie in diesem Fall sicher, dass Sie das Passwort für das Servicekonto bei Amazon aktualisieren, sobald das Passwort zurückgesetzt wurde FSx. Verwenden Sie dazu die FSx Amazon-Konsole, die FSx Amazon-API oder AWS CLI. Wenn sich die IP-Adressen des DNS-Servers für Ihre Active Directory-Domain ändern, aktualisieren Sie die IP-Adressen der DNS-Server ebenfalls bei Amazon, sobald die Änderung erfolgt FSx.

Wenn es ein Problem mit der aktualisierten selbstverwalteten AD-Konfiguration gibt, wechselt der SVM-Status zu Fehlkonfiguriert. In diesem Status werden neben der SVM-Beschreibung in der Konsole, der API und der CLI eine Fehlermeldung und eine empfohlene Aktion angezeigt. Wenn ein Problem mit der AD-Konfiguration Ihrer SVM auftritt, stellen Sie sicher, dass Sie die empfohlenen Korrekturmaßnahmen für die Konfigurationseigenschaften ergreifen. Wenn das Problem behoben ist, überprüfen Sie, ob sich der Status Ihrer SVM auf Erstellt ändert.

Weitere Informationen erhalten Sie unter Aktualisierung vorhandener SVM-Active-Directory-Konfigurationen mithilfe der AWS-Managementkonsole API AWS CLI, und und Ändern Sie eine Active Directory-Konfiguration mit der ONTAP CLI.

Verwendung von Sicherheitsgruppen zur Begrenzung des Datenverkehrs innerhalb Ihrer VPC

Um den Netzwerkverkehr in Ihrer Virtual Private Cloud (VPC) zu begrenzen, können Sie das Prinzip der geringsten Rechte in Ihrer VPC implementieren. Mit anderen Worten, Sie können die Berechtigungen auf das erforderliche Minimum beschränken. Verwenden Sie dazu Sicherheitsgruppenregeln. Weitere Informationen hierzu finden Sie unter Amazon VPC-Sicherheitsgruppen.

Sicherheitsgruppenregeln für ausgehende Nachrichten für die Netzwerkschnittstelle Ihres Dateisystems erstellen

Für mehr Sicherheit sollten Sie erwägen, eine Sicherheitsgruppe mit Regeln für ausgehenden Datenverkehr zu konfigurieren. Diese Regeln sollten ausgehenden Datenverkehr nur zu Ihren selbstverwalteten AD-Domänencontrollern oder innerhalb des Subnetzes oder der Sicherheitsgruppe zulassen. Wenden Sie diese Sicherheitsgruppe auf die VPC an, die mit der elastic network interface Ihres FSx Amazon-Dateisystems verknüpft ist. Weitere Informationen hierzu finden Sie unter Dateisystem-Zugriffskontrolle mit Amazon VPC.

Speichern von Active Directory-Anmeldeinformationen mit AWS Secrets Manager

Sie können AWS Secrets Manager die Anmeldeinformationen für Ihr Microsoft Active Directory-Konto für den Domänenbeitrittsdienst sicher speichern und verwalten. Durch diesen Ansatz entfällt die Notwendigkeit, vertrauliche Anmeldeinformationen im Klartext im Anwendungscode oder in Konfigurationsdateien zu speichern, wodurch Ihr Sicherheitsstatus gestärkt wird.

Sie können auch IAM-Richtlinien konfigurieren, um den Zugriff auf Ihre Geheimnisse zu verwalten, und automatische Rotationsrichtlinien für Ihre Passwörter einrichten.

Schritt 1: Erstellen Sie einen KMS-Schlüssel

Erstellen Sie einen KMS-Schlüssel zum Verschlüsseln und Entschlüsseln Ihrer Active Directory-Anmeldeinformationen in Secrets Manager.

So erstellen Sie einen Schlüssel
Anmerkung

Erstellen Sie für den Verschlüsselungsschlüssel einen neuen Schlüssel und verwenden Sie nicht den AWS Standard-KMS-Schlüssel. Achten Sie darauf, dass Sie die SVM AWS KMS key in derselben Region erstellen, in der sich auch die SVM befindet, die Sie Ihrem Active Directory hinzufügen möchten.

  1. Öffnen Sie die AWS KMS Konsole unter /kms. https://console.aws.amazon.com

  2. Klicken Sie auf Create key.

  3. Wählen Sie für Schlüsseltyp Symmetrisch aus.

  4. Wählen Sie für Schlüsselnutzung die Option Verschlüsseln und Entschlüsseln aus.

  5. Gehen Sie für erweiterte Optionen wie folgt vor:

    1. Wählen Sie unter Schlüsselmaterialursprung KMS aus.

    2. Wählen Sie für Regionalität die Option Single-Region-Schlüssel und dann Weiter aus.

  6. Wählen Sie Weiter aus.

  7. Geben Sie für Alias einen Namen für den KMS-Schlüssel an.

  8. (Optional) Geben Sie unter Beschreibung eine Beschreibung des KMS-Schlüssels an.

  9. (Optional) Geben Sie für Tags ein Tag für den KMS-Schlüssel ein und wählen Sie Weiter aus.

  10. (Optional) Geben Sie für Schlüsseladministratoren die IAM-Benutzer und -Rollen an, die zur Verwaltung dieses Schlüssels berechtigt sind.

  11. Lassen Sie für das Löschen von Schlüsseln das Kontrollkästchen Schlüsseladministratoren das Löschen dieses Schlüssels erlauben aktiviert und wählen Sie Weiter.

  12. (Optional) Geben Sie für Key-Benutzer die IAM-Benutzer und -Rollen an, die berechtigt sind, diesen Schlüssel bei kryptografischen Vorgängen zu verwenden. Wählen Sie Weiter aus.

  13. Wählen Sie unter Schlüsselrichtlinie die Option Bearbeiten und fügen Sie der Richtlinienerklärung Folgendes hinzu, damit Amazon FSx den KMS-Schlüssel verwenden kann, und wählen Sie Weiter. Stellen Sie sicher, dass Sie das durch us-west-2 den AWS-Region Ort ersetzen, an dem das Dateisystem bereitgestellt wird123456789012, und durch Ihre AWS-Konto ID.

    {
    "Sid": "Allow FSx to use the KMS key",
    "Version": "2012-10-17", 		 	 	 
    "Effect": "Allow",
    "Principal": {
        "Service": "fsx.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
    ],
    "Resource": "arn:aws:kms:us-west-2:123456789012:key:*",
    "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*",
            "kms:ViaService": "secretsmanager.us-west-2.amazonaws.com",
            "aws:SourceAccount": "123456789012"
        },
        "ArnLike": {
            "aws:SourceArn": [
                "arn:aws:fsx:us-west-2:123456789012:file-system/*",
                "arn:aws:fsx:us-west-2:123456789012:storage-virtual-machine/fs-*/svm-*"
            ]
        }
    }
}

  14. Wählen Sie Finish (Abschließen).

Anmerkung

Sie können eine detailliertere Zugriffskontrolle einrichten, indem Sie die aws:SourceArn Felder Resource und so ändern, dass sie auf bestimmte geheime Daten und Dateisysteme abzielen.

Schritt 2: Erstellen Sie ein Geheimnis AWS Secrets Manager

So erstellen Sie ein Secret

  1. Öffnen Sie die Secrets Manager Manager-Konsole unter https://console.aws.amazon.com/secretsmanager/.

  2. Wählen Sie Store a new secret (Ein neues Secret speichern).

  3. Als Secret-Typ wählen Sie Anderer Secret-Typ aus.

  4. Gehen Sie für Schlüssel/Wert-Paare wie folgt vor, um Ihre beiden Schlüssel hinzuzufügen:

    1. Geben Sie als ersten Schlüssel CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME ein.

    2. Geben Sie als Wert für den ersten Schlüssel nur den Benutzernamen (ohne das Domain-Präfix) des AD-Benutzers ein.

    3. Geben Sie als zweiten Schlüssel CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD ein.

    4. Geben Sie als Wert des zweiten Schlüssels das Passwort ein, das Sie für den AD-Benutzer in Ihrer Domain erstellt haben.

  5. Geben Sie unter Verschlüsselungsschlüssel den ARN des KMS-Schlüssels ein, den Sie in einem vorherigen Schritt erstellt haben, und wählen Sie Weiter.

  6. Geben Sie als Secret-Name einen aussagekräftigen Namen ein, anhand dessen Sie das Secret später leichter finden können.

  7. (Optional) Geben Sie im Feld Beschreibung eine Beschreibung für den Secret-Namen ein.

  8. Wählen Sie für die Ressourcenberechtigung die Option Bearbeiten aus.

    Fügen Sie der Berechtigungsrichtlinie die folgende Richtlinie hinzu, damit Amazon FSx das Geheimnis verwenden kann, und wählen Sie dann Weiter. Stellen Sie sicher, dass Sie das durch us-west-2 den AWS-Region Ort ersetzen, an dem das Dateisystem bereitgestellt wird123456789012, und durch Ihre AWS-Konto ID.

    {
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "fsx.amazonaws.com"
            },
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:fsx:us-west-2:123456789012:file-system/*",
                        "arn:aws:fsx:us-west-2:123456789012:storage-virtual-machine/fs-*/svm-*"
                    ]
                }
            }
        }
    ]
}

  9. (Optional) Sie können Secrets Manager so konfigurieren, dass Ihre Anmeldeinformationen automatisch rotiert werden. Wählen Sie Weiter aus.

  10. Wählen Sie Finish (Abschließen).

Schritt 1: Erstellen Sie einen KMS-Schlüssel

Erstellen Sie einen KMS-Schlüssel zum Verschlüsseln und Entschlüsseln Ihrer Active Directory-Anmeldeinformationen in Secrets Manager.

Verwenden Sie den AWS CLI Befehl create-key, um einen KMS-Schlüssel zu erstellen.

Legen Sie in diesem Befehl den --policy Parameter fest, um die Schlüsselrichtlinie anzugeben, die die Berechtigungen für den KMS-Schlüssel definiert. Die Richtlinie muss Folgendes beinhalten:

  • Der Service Principal für Amazon FSx, das istfsx.amazonaws.com.

  • Erforderliche KMS-Aktionen: kms:Decrypt undkms:DescribeKey.

  • Ressourcen-ARN-Muster für Ihr AWS-Region AND-Konto.

  • Bedingungsschlüssel, die die Verwendung von Schlüsseln einschränken:

    • kms:ViaServiceum sicherzustellen, dass Anfragen über Secrets Manager eingehen.

    • aws:SourceAccountum es auf Ihr Konto zu beschränken.

    • aws:SourceArnum sich auf bestimmte FSx Amazon-Dateisysteme zu beschränken.

Im folgenden Beispiel wird ein KMS-Schlüssel für die symmetrische Verschlüsselung mit einer Richtlinie erstellt, die es Amazon ermöglicht, den Schlüssel für Entschlüsselungs- und Schlüsselbeschreibungsvorgänge FSx zu verwenden. Der Befehl ruft automatisch Ihre AWS-Konto ID und Region ab und konfiguriert dann die Schlüsselrichtlinie mit diesen Werten, um eine ordnungsgemäße Zugriffskontrolle zwischen Amazon FSx, Secrets Manager und dem KMS-Schlüssel sicherzustellen. Stellen Sie sicher, dass sich Ihre AWS CLI Umgebung in derselben Region befindet wie die SVM, die dem Active Directory beitreten wird.

# Set region and get Account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)

# Create Key
KMS_KEY_ARN=$(aws kms create-key --policy "{
  \"Version\": \"2012-10-17\", 		 	 	 
  \"Statement\": [
    {
      \"Sid\": \"Enable IAM User Permissions\",
      \"Effect\": \"Allow\",
      \"Principal\": {
        \"AWS\": \"arn:aws:iam::$ACCOUNT_ID:root\"
      },
      \"Action\": \"kms:*\",
      \"Resource\": \"*\"
    },
    {
      \"Sid\": \"Allow FSx to use the KMS key\",
      \"Effect\": \"Allow\",
      \"Principal\": {
        \"Service\": \"fsx.amazonaws.com\"
      },
      \"Action\": [
        \"kms:Decrypt\",
        \"kms:DescribeKey\"
      ],
      \"Resource\": \"*\",
      \"Condition\": {
        \"StringEquals\": {
          \"kms:ViaService\": \"secretsmanager.$REGION.amazonaws.com\",
          \"aws:SourceAccount\": \"$ACCOUNT_ID\"
        },
        \"ArnLike\": {
          \"aws:SourceArn\": [
            \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\",
            \"arn:aws:fsx:$REGION:$ACCOUNT_ID:storage-virtual-machine/fs-*/svm-*\"]
        }
      }
    }
  ]
}" --query 'KeyMetadata.Arn' --output text)

echo "KMS Key ARN: $KMS_KEY_ARN"
Anmerkung

Sie können eine detailliertere Zugriffskontrolle einrichten, indem Sie die aws:SourceArn Felder Resource und so ändern, dass sie auf bestimmte geheime Daten und Dateisysteme abzielen.

Schritt 2: Erstellen Sie ein Geheimnis AWS Secrets Manager

Um ein Geheimnis für Amazon für den Zugriff auf Ihr Active Directory FSx zu erstellen, verwenden Sie den AWS CLI Befehl create-secret und legen Sie die folgenden Parameter fest:

  • --name: Die Kennung für Ihr Geheimnis.

  • --description: Eine Beschreibung des Zwecks des Geheimnisses.

  • --kms-key-id: Der ARN des KMS-Schlüssels, den Sie in Schritt 1 für die Verschlüsselung des geheimen Schlüssels im Ruhezustand erstellt haben.

  • --secret-string: Eine JSON-Zeichenfolge, die Ihre AD-Anmeldeinformationen im folgenden Format enthält:

    • CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME: Der Benutzername Ihres AD-Dienstkontos ohne das Domainpräfix, z. svc-fsx B. Geben Sie nicht das Domainpräfix an, z. CORP\svc-fsx B.

    • CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD: Das Passwort Ihres AD-Dienstkontos

  • --region: Der AWS-Region Ort, an dem Ihre SVM erstellt wird. Dies ist standardmäßig Ihre konfigurierte Region, falls AWS_REGION nicht festgelegt.

Nachdem Sie das Geheimnis erstellt haben, fügen Sie mit dem put-resource-policyBefehl eine Ressourcenrichtlinie hinzu und legen Sie die folgenden Parameter fest:

  • --secret-id: Der Name oder ARN des Secrets, an das die Richtlinie angehängt werden soll. Das folgende Beispiel verwendet FSxSecret als--secret-id.

  • --region: Das Gleiche AWS-Region wie dein Geheimnis.

  • --resource-policy: Ein JSON-Richtliniendokument, das Amazon die FSx Erlaubnis erteilt, auf das Geheimnis zuzugreifen. Die Richtlinie muss Folgendes beinhalten:

    • Der Service Principal für Amazon FSx, das istfsx.amazonaws.com.

    • Erforderliche Secrets Manager Manager-Aktionen: secretsmanager:GetSecretValue undsecretsmanager:DescribeSecret.

    • Ressourcen-ARN-Muster für Ihr AWS-Region AND-Konto.

    • Die folgenden Bedingungsschlüssel, die den Zugriff einschränken:

      • aws:SourceAccountum sich auf Ihr Konto zu beschränken.

      • aws:SourceArnum sich auf bestimmte FSx Amazon-Dateisysteme zu beschränken.

Im folgenden Beispiel wird ein Geheimnis mit dem erforderlichen Format erstellt und eine Ressourcenrichtlinie angehängt, die es Amazon ermöglicht, das Geheimnis FSx zu verwenden. In diesem Beispiel werden Ihre AWS-Konto ID und Region automatisch abgerufen und anschließend die Ressourcenrichtlinie mit diesen Werten konfiguriert, um eine ordnungsgemäße Zugriffskontrolle zwischen Amazon FSx und dem Secret sicherzustellen.

Stellen Sie sicher, dass Sie das KMS_KEY_ARN durch den ARN aus dem Schlüssel, den Sie in Schritt 1 erstellt habenCUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME, und CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD durch die Anmeldeinformationen Ihres Active Directory-Dienstkontos ersetzen. Stellen Sie außerdem sicher, dass Ihre AWS CLI Umgebung für dieselbe Region konfiguriert ist wie die SVM, die dem Active Directory beitreten wird.

# Set region and get account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)

# Replace with your KMS key ARN from Step 1
KMS_KEY_ARN="arn:aws:kms:us-east-2:123456789012:key/1234542f-d114-555b-9ade-fec3c9200d8e"

# Replace with your Active Directory credentials
AD_USERNAME="Your_Username"  
AD_PASSWORD="Your_Password"

# Create the secret
SECRET_ARN=$(aws secretsmanager create-secret \
  --name "FSxSecret" \
  --description "Secret for FSx access" \
  --kms-key-id "$KMS_KEY_ARN" \
  --secret-string "{\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"$AD_USERNAME\",\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"$AD_PASSWORD\"}" \
  --region "$REGION" \
  --query 'ARN' \
  --output text)

echo "Secret created with ARN: $SECRET_ARN"

# Attach the resource policy with proper formatting
aws secretsmanager put-resource-policy \
  --secret-id "FSxSecret" \
  --region "$REGION" \
  --resource-policy "{
    \"Version\": \"2012-10-17\", 		 	 	 
    \"Statement\": [
      {
        \"Effect\": \"Allow\",
        \"Principal\": {
          \"Service\": \"fsx.amazonaws.com\"
        },
        \"Action\": [
          \"secretsmanager:GetSecretValue\",
          \"secretsmanager:DescribeSecret\"
        ],
        \"Resource\": \"$SECRET_ARN\",
        \"Condition\": {
          \"StringEquals\": {
            \"aws:SourceAccount\": \"$ACCOUNT_ID\"
          },
          \"ArnLike\": {
            \"aws:SourceArn\": [
              \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\",
              \"arn:aws:fsx:$REGION:$ACCOUNT_ID:storage-virtual-machine/fs-*/svm-*\"]
          }
        }
      }
    ]
  }"

echo "Resource policy attached successfully"
Anmerkung

Sie können eine detailliertere Zugriffskontrolle einrichten, indem Sie die aws:SourceArn Felder Resource und so ändern, dass sie auf bestimmte geheime Daten und Dateisysteme abzielen.