Uso de una política administrada de IAM para conceder permisos a las instantáneas basadas en VSS
La política administrada AWSEC2VssSnapshotPolicy permite que Systems Manager realice las siguientes acciones en su instancia de Windows:
-
Crear y etiquetar instantáneas de EBS
-
Crear y etiquetar imágenes de máquina de Amazon (AMI)
-
Adjuntar metadatos, como el ID del dispositivo, a las etiquetas de instantáneas predeterminadas que crea VSS.
En este tema se describen los detalles de los permisos de la política administrada de VSS y cómo asociarla al rol de IAM del perfil de instancia de EC2.
Contenido
Detalles de la política administrada AWSEC2VssSnapshotPolicy
Una política administrada de AWS es una política independiente que Amazon proporciona a los clientes de AWS. Las políticas administradas de AWS están diseñadas para conceder permisos para casos de uso comunes. No se pueden cambiar los permisos definidos en las políticas administradas de AWS. Sin embargo, puede copiar la política y utilizarla como base para una política administrada por el cliente que sea específica para su caso de uso.
Para obtener más información acerca de las políticas administradas de AWS, consulte Políticas administradas de AWS en la Guía del usuario de IAM.
Para usar la política administrada AWSEC2VssSnapshotPolicy, puede asociarla al rol de IAM asociado a sus instancias de Windows de EC2. Esta política permite a la solución VSS de EC2 crear y añadir etiquetas a las imágenes de máquina de Amazon (AMI) y a las instantáneas de EBS. Para adjuntar la política, consulte Asociación de la política administrada de la instantánea de VSS al rol de su perfil de instancia.
Permisos concedidos por AWSEC2VssSnapshotPolicy
La política AWSEC2VssSnapshotPolicy incluye los siguientes permisos de Amazon EC2 que permiten a Amazon EC2 crear y administrar instantáneas de VSS en su nombre. Puede asociar esta política administrada al rol de perfil de instancia de IAM que utiliza para sus instancias de Windows de EC2.
-
ec2:CreateTags: agregue etiquetas a las instantáneas y AMI de EBS para ayudar a identificar y clasificar los recursos.
-
ec2:DescribeInstanceAttribute: recupere los volúmenes de EBS y las asignaciones de dispositivos de bloques correspondientes que están adjuntos a la instancia de destino.
-
ec2:CreateSnapshots: cree instantáneas de volúmenes de EBS.
-
ec2:CreateImage: cree una AMI a partir de una instancia de EC2 en ejecución.
-
ec2:DescribeImages: recupere la información de las AMI e instantáneas de EC2.
-
EC2:DescribeSnapshots: determine la hora y el estado de las instantáneas para comprobar la coherencia de la aplicación.
nota
Para ver los detalles de los permisos de esta política, consulte AWSEC2VssSnapshotPolicy en la Referencia de la política administrada de AWS.
Optimización de permisos para casos de uso específicos (avanzado)
La política administrada AWSEC2VssSnapshotPolicy incluye permisos para todas las formas en que puede crear instantáneas basadas en VSS. Puede crear una política personalizada que incluya solo los permisos que necesite.
Caso de uso: crear AMI, Caso de uso: usar servicio de AWS Backup
Si utiliza exclusivamente la opción CreateAmi o si crea instantáneas basadas en VSS únicamente a través del servicio de AWS Backup, puede simplificar las instrucciones de política de la siguiente manera.
-
Omita las declaraciones de política identificadas por los siguientes ID de instrucción (SID):
-
CreateSnapshotsWithTag -
CreateSnapshotsAccessInstance -
CreateSnapshotsAccessVolume
-
-
Ajuste la instrucción
CreateTagsOnResourceCreationde la siguiente manera:-
Elimine
arn:aws:ec2:*:*:snapshot/*del recurso. -
Elimine
CreateSnapshotsde laec2:CreateActioncondición.
-
-
Ajuste la instrucción
CreateTagsAfterResourceCreationpara eliminararn:aws:ec2:*:*:snapshot/*de los recursos. -
Ajuste la instrucción
DescribeImagesAndSnapshotspara eliminarec2:DescribeSnapshotsde la acción de la instrucción.
Caso de uso: solo instantánea
Si no utiliza la opción CreateAmi, puede simplificar las instrucciones de política de la siguiente manera.
-
Omita las declaraciones de política identificadas por los siguientes ID de instrucción (SID):
-
CreateImageAccessInstance -
CreateImageWithTag
-
-
Ajuste la instrucción
CreateTagsOnResourceCreationde la siguiente manera:-
Elimine
arn:aws:ec2:*:*:image/*del recurso. -
Elimine
CreateImagede laec2:CreateActioncondición.
-
-
Ajuste la instrucción
CreateTagsAfterResourceCreationpara eliminararn:aws:ec2:*:*:image/*de los recursos. -
Ajuste la instrucción
DescribeImagesAndSnapshotspara eliminarec2:DescribeImagesde la acción de la instrucción.
nota
Para garantizar que su política personalizada funcione como se espera, le recomendamos que revise e incorpore actualizaciones periódicas a la política administrada.
Asociación de la política administrada de la instantánea de VSS al rol de su perfil de instancia
Para conceder permisos para las instantáneas basadas en VSS para su instancia de Windows de EC2, debe asociar la política administrada AWSEC2VssSnapshotPolicy al rol de perfil de instancia de la siguiente manera. Es importante que se asegure de que su instancia cumpla con todos los Requisitos del sistema.
nota
Para usar la política administrada, la instancia debe tener instalada la versión del paquete AwsVssComponents 2.3.1 o posterior. Para ver el historial de versiones, consulte Versiones del paquete AwsVssComponents.
Abra la consola de IAM en https://console.aws.amazon.com/iam/
. -
En el panel de navegación, seleccione Roles para ver una lista de los roles de IAM a los que tiene acceso.
-
Seleccione el enlace del nombre del rol para el rol asociado a la instancia. Se abre la página de detalle del rol.
-
Para adjuntar la política administrada, seleccione Añadir permisos, que se encuentra en la esquina superior derecha del panel de lista. Luego, seleccione Adjuntar políticas en la lista desplegable.
-
Para optimizar los resultados, escriba el nombre de la política en la barra de búsqueda (
AWSEC2VssSnapshotPolicy). -
Seleccione la casilla situada junto al nombre de la política que desea adjuntar y elija Añadir permisos.
