Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
IAMServicerollen für Amazon Data Lifecycle Manager
Eine AWS Identity and Access Management (IAM) -Rolle ähnelt einem Benutzer insofern, als es sich um eine AWS Identität mit Berechtigungsrichtlinien handelt, die festlegen, was die Identität tun kann und was nicht AWS. Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen. Eine Servicerolle ist eine Rolle, die ein AWS Dienst übernimmt, um Aktionen in Ihrem Namen auszuführen. Als Service, der für Sie Backup-Operationen durchführt, erfordert der Amazon Data Lifecycle Manager die Übergabe einer Rolle, die es annehmen soll, wenn es für Sie Rechtslinien-Geschäfte durchführt. Weitere Informationen zu IAM IAMRollen finden Sie im IAMBenutzerhandbuch unter Rollen.
Die Rolle, die Sie an Amazon Data Lifecycle Manager übergeben, muss über eine IAM Richtlinie mit den Berechtigungen verfügen, die es Amazon Data Lifecycle Manager ermöglichen, Aktionen im Zusammenhang mit Richtlinienvorgängen durchzuführen, wie z. B. das Erstellen von Snapshots und AMIs das Kopieren von Snapshots und AMIs das Löschen von Snapshots sowie das Abmelden. AMIs Für jeden der Amazon Data Lifecycle Manager-Richtlinientypen sind unterschiedliche Berechtigungen erforderlich. Die Rolle muss außerdem Amazon Data Lifecycle Manager als vertrauenswürdige Entität aufgelistet haben. Dadurch kann Amazon Data Lifecycle Manager die Rolle übernehmen.
Themen
Standard-Servicerollen für Amazon Data Lifecycle Manager
Amazon Data Lifecycle Manager verwendet die folgenden Standard-Service-Rollen:
-
AWSDataLifecycleManagerDefaultRole— Standardrolle für die Verwaltung von Snapshots. Es vertraut nur dem
dlm.amazonaws.com-Dienst, um die Rolle zu übernehmen, und Amazon Data Lifecycle Manager kann die Aktionen ausführen, die für Snapshot- und kontoübergreifende Snapshot-Kopierrichtlinien in Ihrem Namen erforderlich sind. Diese Rolle verwendet dieAWSDataLifecycleManagerServiceRoleAWS verwaltete Richtlinie.Anmerkung
Das ARN Format der Rolle unterscheidet sich je nachdem, ob sie mit der Konsole oder der erstellt wurde AWS CLI. Wenn die Rolle mit der Konsole erstellt wurde, lautet das ARN Format
arn:aws:iam::. Wenn die Rolle mit dem erstellt wurde AWS CLI, lautet das ARN Formataccount_id:role/service-role/AWSDataLifecycleManagerDefaultRolearn:aws:iam::.account_id:role/AWSDataLifecycleManagerDefaultRole -
AWSDataLifecycleManagerDefaultRoleForAMIManagement— Standardrolle für die VerwaltungAMIs. Es vertraut darauf, dass nur der
dlm.amazonaws.comService die Rolle übernimmt, und ermöglicht Amazon Data Lifecycle Manager, die durch EBS -gestützte AMI Richtlinien erforderlichen Aktionen in Ihrem Namen durchzuführen. Diese Rolle verwendet dieAWSDataLifecycleManagerServiceRoleForAMIManagementAWS verwaltete Richtlinie.
Wenn Sie die Amazon Data Lifecycle Manager-Konsole verwenden, erstellt Amazon Data Lifecycle Manager die AWSDataLifecycleManagerDefaultRoleServicerolle automatisch, wenn Sie zum ersten Mal eine Snapshot- oder kontoübergreifende Snapshot-Kopierrichtlinie erstellen, und erstellt die AWSDataLifecycleManagerDefaultRoleForAMIManagementServicerolle automatisch, wenn Sie zum ersten Mal eine EBS AMI -gestützte Richtlinie erstellen.
Wenn Sie die Konsole nicht verwenden, können Sie die Servicerollen mithilfe des create-default-roleBefehls manuell erstellen. Geben Sie für --resource-type snapshot an AWSDataLifecycleManagerDefaultRole, ob Sie erstellen oder erstellen image möchten AWSDataLifecycleManagerDefaultRoleForAMIManagement.
$aws dlm create-default-role --resource-typesnapshot|image
Wenn Sie diese standardmäßigen Servicerollen löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die sie in Ihrem Konto neu anzulegen.
Benutzerdefinierte Service-Rollen für Amazon Data Lifecycle Manager
Als Alternative zur Verwendung der Standard-Servicerollen können Sie benutzerdefinierte IAM Rollen mit den erforderlichen Berechtigungen erstellen und diese dann auswählen, wenn Sie eine Lebenszyklusrichtlinie erstellen.
Erstellen einer benutzerdefinierten IAM-Rolle
-
Erstellen Sie Rollen mit den folgenden Berechtigungen.
-
Notwendige Berechtigungen zum Verwalten von Snapshot-Lebenszyklusrichtlinien
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateSnapshot", "ec2:CreateSnapshots", "ec2:DeleteSnapshot", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ec2:DescribeSnapshots", "ec2:EnableFastSnapshotRestores", "ec2:DescribeFastSnapshotRestores", "ec2:DisableFastSnapshotRestores", "ec2:CopySnapshot", "ec2:ModifySnapshotAttribute", "ec2:DescribeSnapshotAttribute", "ec2:ModifySnapshotTier", "ec2:DescribeSnapshotTierStatus" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*::snapshot/*" }, { "Effect": "Allow", "Action": [ "events:PutRule", "events:DeleteRule", "events:DescribeRule", "events:EnableRule", "events:DisableRule", "events:ListTargetsByRule", "events:PutTargets", "events:RemoveTargets" ], "Resource": "arn:aws:events:*:*:rule/AwsDataLifecycleRule.managed-cwe.*" }, { "Effect": "Allow", "Action": [ "ssm:GetCommandInvocation", "ssm:ListCommands", "ssm:DescribeInstanceInformation" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:SendCommand", "ssm:DescribeDocument", "ssm:GetDocument" ], "Resource": [ "arn:aws:ssm:*:*:document/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/DLMScriptsAccess": "true" } } }, { "Effect": "Allow", "Action": [ "ssm:SendCommand", "ssm:DescribeDocument", "ssm:GetDocument" ], "Resource": [ "arn:aws:ssm:*::document/*" ] }, { "Effect": "Allow", "Action": [ "ssm:SendCommand" ], "Resource": [ "arn:aws:ec2:*:*:instance/*" ], "Condition": { "StringNotLike": { "aws:ResourceTag/DLMScriptsAccess": "false" } } } ] } -
Für die Verwaltung von AMI Lebenszyklusrichtlinien sind Berechtigungen erforderlich
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": [ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*::image/*" ] }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeImageAttribute", "ec2:DescribeVolumes", "ec2:DescribeSnapshots" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:DeleteSnapshot", "Resource": "arn:aws:ec2:*::snapshot/*" }, { "Effect": "Allow", "Action": [ "ec2:ResetImageAttribute", "ec2:DeregisterImage", "ec2:CreateImage", "ec2:CopyImage", "ec2:ModifyImageAttribute" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:EnableImageDeprecation", "ec2:DisableImageDeprecation" ], "Resource": "arn:aws:ec2:*::image/*" } ] }
Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Eine Rolle erstellen.
-
-
Fügen Sie eine Vertrauensstellung für die Rollen hinzu.
-
Wählen Sie in der IAM-Konsole Roles (Rollen) aus.
-
Wählen Sie die erstellte Rolle aus und wählen Sie Trust relationships (Vertrauensstellungen).
-
Wählen Sie Edit Trust Relationship (Vertrauensstellung bearbeiten), fügen Sie die folgende Richtlinie hinzu und wählen Sie Update Trust Policy (Vertrauensstellung aktualisieren).
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "dlm.amazonaws.com" }, "Action": "sts:AssumeRole" }] }Wir empfehlen Ihnen, die
aws:SourceAccount- undaws:SourceArn-Bedingungsschlüssel zu verwenden, um sich vor dem Problem des verwirrten Stellvertreters zu schützen. Beispielsweise können Sie der vorherigen Vertrauensrichtlinie den folgenden Bedingungsblock hinzufügen. Deraws:SourceAccountist der Eigentümer der Lebenszyklus-Richtlinie und deraws:SourceArnist der Eigentümer ARN der Lebenszyklus-Richtlinie. Wenn Sie die Lifecycle-Policy-ID nicht kennen, können Sie diesen Teil durch einen Platzhalter (*) ersetzen und dann die Vertrauensrichtlinie aktualisieren, nachdem Sie die Lebenszyklus-Richtlinie erstellt haben. ARN"Condition": { "StringEquals": { "aws:SourceAccount": "account_id" }, "ArnLike": { "aws:SourceArn": "arn:partition:dlm:region:account_id:policy/policy_id" } }
-
