IAM-Servicerollen - Amazon EBS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM-Servicerollen

Eine AWS Identity and Access Management (IAM)-Rolle ist einem Benutzer ähnlich, da es sich um eine AWS Identität mit Berechtigungsrichtlinien handelt, die festlegen, welche Aktionen die Identität in ausführen kann und welche nicht AWS. Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen. Eine Servicerolle ist eine Rolle, die ein - AWS Service übernimmt, um Aktionen in Ihrem Namen auszuführen. Als Service, der für Sie Backup-Operationen durchführt, erfordert der Amazon Data Lifecycle Manager die Übergabe einer Rolle, die es annehmen soll, wenn es für Sie Rechtslinien-Geschäfte durchführt. Weitere Informationen zu IAM-Rollen finden Sie unter IAM-Rollen im IAM-Benutzerhandbuch.

Die Rolle, die Sie an Amazon Data Lifecycle Manager übergeben, muss über eine IAM-Richtlinie mit den Berechtigungen verfügen, mit denen Amazon Data Lifecycle Manager Aktionen ausführen kann, die mit Richtlinienvorgängen verknüpft sind, z. B. das Erstellen von Snapshots und AMIs, das Kopieren von Snapshots und AMIs, das Löschen von Snapshots und das Abmelden von AMIs. Für jeden der Amazon Data Lifecycle Manager-Richtlinientypen sind unterschiedliche Berechtigungen erforderlich. Die Rolle muss außerdem Amazon Data Lifecycle Manager als vertrauenswürdige Entität aufgelistet haben. Dadurch kann Amazon Data Lifecycle Manager die Rolle übernehmen.

Standard-Servicerollen für Amazon Data Lifecycle Manager

Amazon Data Lifecycle Manager verwendet die folgenden Standard-Service-Rollen:

  • AWSDataLifecycleManagerDefaultRole– Standardrolle für die Verwaltung von Snapshots. Es vertraut nur dem dlm.amazonaws.com-Dienst, um die Rolle zu übernehmen, und Amazon Data Lifecycle Manager kann die Aktionen ausführen, die für Snapshot- und kontoübergreifende Snapshot-Kopierrichtlinien in Ihrem Namen erforderlich sind. Diese Rolle verwendet die - AWSDataLifecycleManagerServiceRole AWS verwaltete Richtlinie.

    Anmerkung

    Das ARN-Format der Rolle unterscheidet sich je nachdem, ob sie mit der Konsole oder der AWS CLI erstellt wurde. Wenn die Rolle mit der Konsole erstellt wurde, lautet das ARN-Format arn:aws:iam::account_id:role/service-role/AWSDataLifecycleManagerDefaultRole. Wenn die Rolle mit der erstellt wurde AWS CLI, lautet das ARN-Format arn:aws:iam::account_id:role/AWSDataLifecycleManagerDefaultRole.

  • AWSDataLifecycleManagerDefaultRoleForAMIManagement—Standardrolle für die Verwaltung von AMIs . Es vertraut nur dem dlm.amazonaws.com-Dienst, um die Rolle zu übernehmen, und Amazon Data Lifecycle Manager ermöglicht es Ihnen, die Aktionen auszuführen, die von EBS-unterstützten AMI-Richtlinien in Ihrem Namen erforderlich sind. Diese Rolle verwendet die -AWSDataLifecycleManagerServiceRoleForAMIManagement AWS verwaltete Richtlinie.

Wenn Sie die Amazon Data Lifecycle Manager-Konsole verwenden, erstellt Amazon Data Lifecycle Manager die AWSDataLifecycleManagerDefaultRole Servicerolle automatisch, wenn Sie zum ersten Mal eine Snapshot- oder kontoübergreifende Snapshot-Kopierrichtlinie erstellen, und erstellt die AWSDataLifecycleManagerDefaultRoleForAMIManagement Servicerolle automatisch, wenn Sie zum ersten Mal eine EBS-gestützte AMI-Richtlinie erstellen.

Wenn Sie die Konsole nicht verwenden, können Sie die Servicerollen manuell mit dem create-default-role Befehl erstellen. Geben Sie für an--resource-type, snapshot um zu erstellen AWSDataLifecycleManagerDefaultRole, oder , image um zu erstellen AWSDataLifecycleManagerDefaultRoleForAMIManagement.

$ aws dlm create-default-role --resource-type snapshot|image

Wenn Sie diese standardmäßigen Servicerollen löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die sie in Ihrem Konto neu anzulegen.

Benutzerdefinierte Service-Rollen für Amazon Data Lifecycle Manager

Alternativ zur Verwendung der Standarddienstrollen können Sie benutzerdefinierte IAM-Rollen mit den erforderlichen Berechtigungen erstellen und sie dann beim Erstellen einer Lebenszyklus-Richtlinie auswählen.

Erstellen einer benutzerdefinierten IAM-Rolle
  1. Erstellen Sie Rollen mit den folgenden Berechtigungen.

    • Notwendige Berechtigungen zum Verwalten von Snapshot-Lebenszyklusrichtlinien

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateSnapshot", "ec2:CreateSnapshots", "ec2:DeleteSnapshot", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ec2:DescribeSnapshots", "ec2:EnableFastSnapshotRestores", "ec2:DescribeFastSnapshotRestores", "ec2:DisableFastSnapshotRestores", "ec2:CopySnapshot", "ec2:ModifySnapshotAttribute", "ec2:DescribeSnapshotAttribute", "ec2:ModifySnapshotTier", "ec2:DescribeSnapshotTierStatus" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*::snapshot/*" }, { "Effect": "Allow", "Action": [ "events:PutRule", "events:DeleteRule", "events:DescribeRule", "events:EnableRule", "events:DisableRule", "events:ListTargetsByRule", "events:PutTargets", "events:RemoveTargets" ], "Resource": "arn:aws:events:*:*:rule/AwsDataLifecycleRule.managed-cwe.*" }, { "Effect": "Allow", "Action": [ "ssm:GetCommandInvocation", "ssm:ListCommands", "ssm:DescribeInstanceInformation" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:SendCommand", "ssm:DescribeDocument", "ssm:GetDocument" ], "Resource": [ "arn:aws:ssm:*:*:document/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/DLMScriptsAccess": "true" } } }, { "Effect": "Allow", "Action": [ "ssm:SendCommand", "ssm:DescribeDocument", "ssm:GetDocument" ], "Resource": [ "arn:aws:ssm:*::document/*" ] }, { "Effect": "Allow", "Action": [ "ssm:SendCommand" ], "Resource": [ "arn:aws:ec2:*:*:instance/*" ], "Condition": { "StringNotLike": { "aws:ResourceTag/DLMScriptsAccess": "false" } } } ] }
    • Notwendige Berechtigungen zum Verwalten von AMI-Lebenszyklusrichtlinien

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": [ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*::image/*" ] }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeImageAttribute", "ec2:DescribeVolumes", "ec2:DescribeSnapshots" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:DeleteSnapshot", "Resource": "arn:aws:ec2:*::snapshot/*" }, { "Effect": "Allow", "Action": [ "ec2:ResetImageAttribute", "ec2:DeregisterImage", "ec2:CreateImage", "ec2:CopyImage", "ec2:ModifyImageAttribute" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:EnableImageDeprecation", "ec2:DisableImageDeprecation" ], "Resource": "arn:aws:ec2:*::image/*" } ] }

    Weitere Informationen finden Sie unter Erstellen einer Rolle im IAM-Benutzerhandbuch.

  2. Fügen Sie eine Vertrauensstellung für die Rollen hinzu.

    1. Wählen Sie in der IAM-Konsole Roles (Rollen) aus.

    2. Wählen Sie die erstellte Rolle aus und wählen Sie Trust relationships (Vertrauensstellungen).

    3. Wählen Sie Edit Trust Relationship (Vertrauensstellung bearbeiten), fügen Sie die folgende Richtlinie hinzu und wählen Sie Update Trust Policy (Vertrauensstellung aktualisieren).

      { "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "dlm.amazonaws.com" }, "Action": "sts:AssumeRole" }] }

      Wir empfehlen Ihnen, die aws:SourceAccount- und aws:SourceArn-Bedingungsschlüssel zu verwenden, um sich vor dem Problem des verwirrten Stellvertreters zu schützen. Beispielsweise können Sie der vorherigen Vertrauensrichtlinie den folgenden Bedingungsblock hinzufügen. Das aws:SourceAccount ist der Besitzer der Lebenszyklusrichtlinie und das aws:SourceArn ist der ARN der Lebenszyklusrichtlinie. Wenn Sie die Lebenszyklusrichtlinie IF nicht kennen, können Sie diesen Teil des ARN durch einen Platzhalter (*) ersetzen und dann die Vertrauensrichtlinie aktualisieren, nachdem Sie die Lebenszyklusrichtlinie erstellt haben.

      "Condition": { "StringEquals": { "aws:SourceAccount": "account_id" }, "ArnLike": { "aws:SourceArn": "arn:partition:dlm:region:account_id:policy/policy_id" } }