Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

IAM-Servicerollen für Amazon Data Lifecycle Manager

PDF
RSS
Fokusmodus
IAM-Servicerollen für Amazon Data Lifecycle Manager - Amazon EBS
Standard-Servicerollen für Amazon Data Lifecycle ManagerBenutzerdefinierte Service-Rollen für Amazon Data Lifecycle Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Eine AWS Identity and Access Management (IAM-) Rolle ähnelt einem Benutzer insofern, als es sich um eine AWS Identität mit Berechtigungsrichtlinien handelt, die festlegen, was die Identität tun kann und was nicht. AWS Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen. Eine Servicerolle ist eine Rolle, die ein AWS Dienst übernimmt, um Aktionen in Ihrem Namen auszuführen. Als Service, der für Sie Backup-Operationen durchführt, erfordert der Amazon Data Lifecycle Manager die Übergabe einer Rolle, die es annehmen soll, wenn es für Sie Rechtslinien-Geschäfte durchführt. Weitere Informationen zu IAM-Rollen finden Sie unter IAM-Rollen im IAM-Benutzerhandbuch.

Die Rolle, die Sie an Amazon Data Lifecycle Manager übergeben, muss über eine IAM-Richtlinie mit den Berechtigungen verfügen, die es Amazon Data Lifecycle Manager ermöglichen, Aktionen im Zusammenhang mit Richtlinienvorgängen durchzuführen, wie z. B. das Erstellen von Snapshots und das Kopieren von Snapshots und AMIs das Löschen von Snapshots sowie AMIs das Abmelden. AMIs Für jeden der Amazon Data Lifecycle Manager-Richtlinientypen sind unterschiedliche Berechtigungen erforderlich. Die Rolle muss außerdem Amazon Data Lifecycle Manager als vertrauenswürdige Entität aufgelistet haben. Dadurch kann Amazon Data Lifecycle Manager die Rolle übernehmen.

Standard-Servicerollen für Amazon Data Lifecycle Manager

Amazon Data Lifecycle Manager verwendet die folgenden Standard-Service-Rollen:

  • AWSDataLifecycleManagerDefaultRole— Standardrolle für die Verwaltung von Snapshots. Es vertraut nur dem dlm.amazonaws.com-Dienst, um die Rolle zu übernehmen, und Amazon Data Lifecycle Manager kann die Aktionen ausführen, die für Snapshot- und kontoübergreifende Snapshot-Kopierrichtlinien in Ihrem Namen erforderlich sind. Diese Rolle verwendet die AWSDataLifecycleManagerServiceRole AWS verwaltete Richtlinie.

    Anmerkung

    Das ARN-Format der Rolle unterscheidet sich je nachdem, ob sie mit der Konsole oder der AWS CLI erstellt wurde. Wenn die Rolle mit der Konsole erstellt wurde, lautet das ARN-Format arn:aws:iam::account_id:role/service-role/AWSDataLifecycleManagerDefaultRole. Wenn die Rolle mit dem erstellt wurde AWS CLI, ist das ARN-Formatarn:aws:iam::account_id:role/AWSDataLifecycleManagerDefaultRole.

  • AWSDataLifecycleManagerDefaultRoleForAMIManagement— Standardrolle für die Verwaltung AMIs. Es vertraut nur dem dlm.amazonaws.com-Dienst, um die Rolle zu übernehmen, und Amazon Data Lifecycle Manager ermöglicht es Ihnen, die Aktionen auszuführen, die von EBS-unterstützten AMI-Richtlinien in Ihrem Namen erforderlich sind. Diese Rolle verwendet die AWSDataLifecycleManagerServiceRoleForAMIManagement AWS verwaltete Richtlinie.

Wenn Sie die Amazon Data Lifecycle Manager-Konsole verwenden, erstellt Amazon Data Lifecycle Manager die AWSDataLifecycleManagerDefaultRoleServicerolle automatisch, wenn Sie zum ersten Mal eine Snapshot- oder kontoübergreifende Snapshot-Kopierrichtlinie erstellen, und erstellt die AWSDataLifecycleManagerDefaultRoleForAMIManagementServicerolle automatisch, wenn Sie zum ersten Mal eine EBS-gestützte AMI-Richtlinie erstellen.

Wenn Sie die Konsole nicht verwenden, können Sie die Servicerollen mithilfe des Befehls manuell erstellen. create-default-role Geben Sie für --resource-type snapshot an AWSDataLifecycleManagerDefaultRole, ob Sie erstellen oder erstellen image möchten AWSData LifecycleManagerDefaultRoleForAMIManagement.

$ aws dlm create-default-role --resource-type snapshot|image

Wenn Sie diese standardmäßigen Servicerollen löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die sie in Ihrem Konto neu anzulegen.

Benutzerdefinierte Service-Rollen für Amazon Data Lifecycle Manager

Alternativ zur Verwendung der Standarddienstrollen können Sie benutzerdefinierte IAM-Rollen mit den erforderlichen Berechtigungen erstellen und sie dann beim Erstellen einer Lebenszyklus-Richtlinie auswählen.

Erstellen einer benutzerdefinierten IAM-Rolle

  1. Erstellen Sie Rollen mit den folgenden Berechtigungen.

    • Notwendige Berechtigungen zum Verwalten von Snapshot-Lebenszyklusrichtlinien

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateSnapshot",
                "ec2:CreateSnapshots",
                "ec2:DeleteSnapshot",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ec2:DescribeSnapshots",
                "ec2:EnableFastSnapshotRestores",
                "ec2:DescribeFastSnapshotRestores",
                "ec2:DisableFastSnapshotRestores",
                "ec2:CopySnapshot",
                "ec2:ModifySnapshotAttribute",
                "ec2:DescribeSnapshotAttribute",
                "ec2:ModifySnapshotTier",
                "ec2:DescribeSnapshotTierStatus",
                "ec2:DescribeAvailabilityZones"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "events:PutRule",
                "events:DeleteRule",
                "events:DescribeRule",
                "events:EnableRule",
                "events:DisableRule",
                "events:ListTargetsByRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
            "Resource": "arn:aws:events:*:*:rule/AwsDataLifecycleRule.managed-cwe.*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetCommandInvocation",
                "ssm:ListCommands",
                "ssm:DescribeInstanceInformation"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand",
                "ssm:DescribeDocument",
                "ssm:GetDocument"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:document/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/DLMScriptsAccess": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand",
                "ssm:DescribeDocument",
                "ssm:GetDocument"
            ],
            "Resource": [
                "arn:aws:ssm:*::document/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*"
            ],
            "Condition": {
                "StringNotLike": {
                    "aws:ResourceTag/DLMScriptsAccess": "false"
                }
            }
        }
    ]
}

    • Notwendige Berechtigungen zum Verwalten von AMI-Lebenszyklusrichtlinien

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": [
                "arn:aws:ec2:*::snapshot/*",
                "arn:aws:ec2:*::image/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages",
                "ec2:DescribeInstances",
                "ec2:DescribeImageAttribute",
                "ec2:DescribeVolumes",
                "ec2:DescribeSnapshots"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteSnapshot",
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ResetImageAttribute",
                "ec2:DeregisterImage",
                "ec2:CreateImage",
                "ec2:CopyImage",
                "ec2:ModifyImageAttribute"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:EnableImageDeprecation",
                "ec2:DisableImageDeprecation"
            ],
            "Resource": "arn:aws:ec2:*::image/*"
        }
    ]
}

    Weitere Informationen finden Sie unter Erstellen einer Rolle im IAM-Benutzerhandbuch.

  2. Fügen Sie eine Vertrauensstellung für die Rollen hinzu.

    1. Wählen Sie in der IAM-Konsole Roles (Rollen) aus.

    2. Wählen Sie die erstellte Rolle aus und wählen Sie Trust relationships (Vertrauensstellungen).

    3. Wählen Sie Edit Trust Relationship (Vertrauensstellung bearbeiten), fügen Sie die folgende Richtlinie hinzu und wählen Sie Update Trust Policy (Vertrauensstellung aktualisieren).

      {
	"Version": "2012-10-17",
	"Statement": [{
		"Effect": "Allow",
		"Principal": {
			"Service": "dlm.amazonaws.com"
		},
		"Action": "sts:AssumeRole"
	}]
}

      Wir empfehlen Ihnen, die aws:SourceAccount- und aws:SourceArn-Bedingungsschlüssel zu verwenden, um sich vor dem Problem des verwirrten Stellvertreters zu schützen. Beispielsweise können Sie der vorherigen Vertrauensrichtlinie den folgenden Bedingungsblock hinzufügen. Das aws:SourceAccount ist der Besitzer der Lebenszyklusrichtlinie und das aws:SourceArn ist der ARN der Lebenszyklusrichtlinie. Wenn Sie die Lebenszyklusrichtlinie IF nicht kennen, können Sie diesen Teil des ARN durch einen Platzhalter (*) ersetzen und dann die Vertrauensrichtlinie aktualisieren, nachdem Sie die Lebenszyklusrichtlinie erstellt haben.

      "Condition": {
    "StringEquals": {
        "aws:SourceAccount": "account_id"
    },
    "ArnLike": {
        "aws:SourceArn": "arn:partition:dlm:region:account_id:policy/policy_id"
    }
}

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.