Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Steuern Sie den Zugriff auf Amazon Data Lifecycle Manager mithilfe von IAM
Für den Zugriff auf Amazon Data Lifecycle Manager sind Anmeldeinformationen erforderlich. Diese Anmeldeinformationen müssen über Berechtigungen für den Zugriff auf AWS Ressourcen wie Instances, Volumes, Snapshots und verfügen. AMIs
Die folgenden IAM-Berechtigungen sind für die Verwendung von Amazon Data Lifecycle Manager erforderlich.
Anmerkung
-
Die Berechtigungen
ec2:DescribeAvailabilityZones,ec2:DescribeRegions,kms:ListAliasesundkms:DescribeKeysind nur für Konsolenbenutzer erforderlich. Wenn kein Konsolenzugriff erforderlich ist, können Sie die Berechtigungen entfernen. -
Das ARN-Format der AWSDataLifecycleManagerDefaultRoleRolle unterscheidet sich je nachdem, ob sie mit der Konsole oder der erstellt wurde AWS CLI. Wenn die Rolle mit der Konsole erstellt wurde, lautet das ARN-Format
arn:aws:iam::. Wenn die Rolle mit dem erstellt wurde AWS CLI, ist das ARN-Formataccount_id:role/service-role/AWSDataLifecycleManagerDefaultRolearn:aws:iam::.account_id:role/AWSDataLifecycleManagerDefaultRole
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "dlm:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::accound_id:role/AWSDataLifecycleManagerDefaultRole", "arn:aws:iam::accound_id:role/AWSDataLifecycleManagerDefaultRoleForAMIManagement", "arn:aws:iam::accound_id:role/service-role/AWSDataLifecycleManagerDefaultRole", "arn:aws:iam::accound_id:role/service-role/AWSDataLifecycleManagerDefaultRoleForAMIManagement" ] }, { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeAvailabilityZones", "ec2:DescribeRegions", "kms:ListAliases", "kms:DescribeKey" ], "Resource": "*" } ] }
Berechtigungen für die Verschlüsselung
Berücksichtigen Sie Folgendes, wenn Sie mit Amazon Data Lifecycle Manager und verschlüsselten Ressourcen arbeiten.
-
Wenn das Quell-Volume verschlüsselt ist, stellen Sie sicher, dass die Standardrollen (AWSDataLifecycleManagerDefaultRoleund AWSDataLifecycleManagerDefaultRoleForAMIManagement) von Amazon Data Lifecycle Manager berechtigt sind, die KMS-Schlüssel zu verwenden, die zur Verschlüsselung des Volumes verwendet werden.
-
Wenn Sie regionsübergreifendes Kopieren für unverschlüsselte oder durch unverschlüsselte Snapshots AMIs gesicherte Snapshots aktivieren und sich dafür entscheiden, die Verschlüsselung in der Zielregion zu aktivieren, stellen Sie sicher, dass die Standardrollen berechtigt sind, den KMS-Schlüssel zu verwenden, der für die Verschlüsselung in der Zielregion erforderlich ist.
-
Wenn Sie regionsübergreifendes Kopieren für verschlüsselte oder durch verschlüsselte Snapshots AMIs gesicherte Snapshots aktivieren, stellen Sie sicher, dass die Standardrollen berechtigt sind, sowohl den Quell- als auch den Ziel-KMS-Schlüssel zu verwenden.
-
Wenn Sie die Snapshot-Archivierung für verschlüsselte Snapshots aktivieren, stellen Sie sicher, dass die Amazon Data Lifecycle Manager Manager-Standardrolle () berechtigt AWSDataLifecycleManagerDefaultRoleist, den KMS-Schlüssel zu verwenden, der zur Verschlüsselung des Snapshots verwendet wird.
Weitere Informationen finden Sie unter Benutzern in anderen Konten die Verwendung eines KMS-Schlüssels erlauben im AWS Key Management Service -Entwicklerhandbuch.
Weitere Informationen finden Sie unter Ändern von Berechtigungen für einen Benutzer im IAM-Benutzerhandbuch.
