AWSDataLifecycleManagerServiceRole AWSDataLifecycleManagerServiceRoleForAMIManagement AWSDataLifecycleManagerSSMFullAccess AWS actualizaciones de políticas gestionadas

AWS políticas gestionadas

Una política AWS administrada es una política independiente creada y administrada por AWS. AWS las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes. AWS Las políticas administradas permiten asignar los permisos adecuados a los usuarios, grupos y roles de forma más eficiente que si tuviera que escribir las políticas usted mismo.

Sin embargo, no puede cambiar los permisos definidos en las políticas AWS administradas. AWS actualiza ocasionalmente los permisos definidos en una política AWS administrada. Cuando esto ocurre, la actualización afecta a todas las entidades principales (usuarios, grupos y roles) a los que está asociada la política.

Amazon Data Lifecycle Manager proporciona políticas AWS administradas para casos de uso comunes. Estas políticas facilitan la definición de los permisos adecuados y controlan el acceso a los recursos. Las políticas AWS gestionadas que proporciona Amazon Data Lifecycle Manager están diseñadas para adjuntarse a las funciones que se transfieran a Amazon Data Lifecycle Manager.

Temas

AWSDataLifecycleManagerServiceRole
AWSDataLifecycleManagerServiceRoleForAMIManagement
AWSDataLifecycleManagerSSMFullAccess
AWS actualizaciones de políticas gestionadas

AWSDataLifecycleManagerServiceRole

La AWSDataLifecycleManagerServiceRolepolítica proporciona los permisos adecuados a Amazon Data Lifecycle Manager para crear y gestionar las políticas de instantáneas de Amazon EBS y las políticas de eventos de copia multicuenta.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateSnapshot",
                "ec2:CreateSnapshots",
                "ec2:DeleteSnapshot",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ec2:DescribeSnapshots",
                "ec2:EnableFastSnapshotRestores",
                "ec2:DescribeFastSnapshotRestores",
                "ec2:DisableFastSnapshotRestores",
                "ec2:CopySnapshot",
                "ec2:ModifySnapshotAttribute",
                "ec2:DescribeSnapshotAttribute",
                "ec2:ModifySnapshotTier",
                "ec2:DescribeSnapshotTierStatus"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "events:PutRule",
                "events:DeleteRule",
                "events:DescribeRule",
                "events:EnableRule",
                "events:DisableRule",
                "events:ListTargetsByRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
            "Resource": "arn:aws:events:*:*:rule/AwsDataLifecycleRule.managed-cwe.*"
        }
    ]
}

AWSDataLifecycleManagerServiceRoleForAMIManagement

La AWSDataLifecycleManagerServiceRoleForAMIManagementpolítica proporciona los permisos adecuados a Amazon Data Lifecycle Manager para crear y gestionar políticas de AMI respaldadas por Amazon EBS-Based.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": [
                "arn:aws:ec2:*::snapshot/*",
                "arn:aws:ec2:*::image/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages",
                "ec2:DescribeInstances",
                "ec2:DescribeImageAttribute",
                "ec2:DescribeVolumes",
                "ec2:DescribeSnapshots"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteSnapshot",
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ResetImageAttribute",
                "ec2:DeregisterImage",
                "ec2:CreateImage",
                "ec2:CopyImage",
                "ec2:ModifyImageAttribute"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:EnableImageDeprecation",
                "ec2:DisableImageDeprecation"
            ],
            "Resource": "arn:aws:ec2:*::image/*"
        }
    ]
}

AWSDataLifecycleManagerSSMFullAccess

Otorga permiso a Amazon Data Lifecycle Manager para que realice las acciones de Systems Manager necesarias para ejecutar scripts previos y posteriores en todas las instancias de Amazon EC2.

importante

La política administrada utiliza la clave de condición aws:ResourceTag para restringir el acceso a documentos de SSM específicos cuando se utilizan scripts previos y posteriores. Para permitir que Amazon Data Lifecycle Manager acceda a los documentos de SSM, debe asegurarse de que sus documentos de SSM estén etiquetados con DLMScriptsAccess:true.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSSMReadOnlyAccess",
            "Effect": "Allow",
            "Action": [
                "ssm:GetCommandInvocation",
                "ssm:ListCommands",
                "ssm:DescribeInstanceInformation"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowTaggedSSMDocumentsOnly",
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand",
                "ssm:DescribeDocument",
                "ssm:GetDocument"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:document/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/DLMScriptsAccess": "true"
                }
            }
        },
        {
            "Sid": "AllowSpecificAWSOwnedSSMDocuments",
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand",
                "ssm:DescribeDocument",
                "ssm:GetDocument"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:document/AWSEC2-CreateVssSnapshot",
                "arn:aws:ssm:*:*:document/AWSSystemsManagerSAP-CreateDLMSnapshotForSAPHANA"
            ]
        },
        {
            "Sid": "AllowAllEC2Instances",
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*"
            ]
        }
    ]
}

AWS actualizaciones de políticas gestionadas

AWS los servicios mantienen y AWS actualizan las políticas gestionadas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios añaden permisos adicionales a una política AWS gestionada para admitir nuevas funciones. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Lo más probable es que los servicios actualicen una política AWS administrada cuando se lanza una nueva función o cuando hay nuevas operaciones disponibles. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.

En la siguiente tabla se proporcionan detalles sobre las actualizaciones de las políticas AWS gestionadas de Amazon Data Lifecycle Manager desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en Historial de documentos para la guía del usuario de Amazon EBS.

Cambio	Descripción	Fecha
AWSDataLifecycleManagerSSMFullAccess— Se actualizaron los permisos de la política.	Se actualizó la política para admitir instantáneas coherentes con las aplicaciones para SAP HANA mediante el documento de SSM `AWSSystemsManagerSAP-CreateDLMSnapshotForSAPHANA`.	17 de noviembre de 2023
AWSDataLifecycleManagerSSMFullAccess— Se ha añadido una nueva política AWS gestionada.	Amazon Data Lifecycle Manager agregó la política AWSDataLifecycleManagerSSMFullAccess AWS administrada.	7 de noviembre de 2023
AWSDataLifecycleManagerServiceRole— Se agregaron permisos para admitir el archivado de instantáneas.	Amazon Data Lifecycle Manager ha agregado las acciones `ec2:ModifySnapshotTier` y `ec2:DescribeSnapshotTierStatus` a fin de conceder permiso a las políticas de instantáneas para archivar instantáneas y comprobar el estado del archivo de las instantáneas.	30 de septiembre de 2022
AWSDataLifecycleManagerServiceRoleForAMIManagement— Se agregaron permisos para admitir la obsolescencia de la AMI.	Amazon Data Lifecycle Manager agregó las acciones `ec2:EnableImageDeprecation` y `ec2:DisableImageDeprecation` para conceder permisos a políticas de la AMI respaldadas por EBS a fin de habilitar y desactivar la obsolescencia de la AMI.	23 de agosto de 2021
Amazon Data Lifecycle Manager comenzó a realizar el seguimiento de los cambios	Amazon Data Lifecycle Manager comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas.	23 de agosto de 2021

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

AWS Identity and Access Management

Funciones de servicio de IAM