Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Funciones de servicio de IAM
Una función AWS Identity and Access Management (IAM) es similar a la de un usuario, en el sentido de que es una AWS identidad con políticas de permisos que determinan lo que la identidad puede y no puede hacer en AWS ella. No obstante, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier usuario pueda asumir un rol que necesite. Una función de servicio es una función que asume un AWS servicio para realizar acciones en tu nombre. Como un servicio que realiza las operaciones de copia de seguridad en su nombre, Amazon Data Lifecycle Manager requiere transferirle un rol que debe adoptar al realizar las operaciones de políticas en su nombre. Para obtener más información acerca de los roles de IAM, consulte Roles de IAM en la guía del usuario de IAM.
El rol que transfiera a Amazon Data Lifecycle Manager debe tener una política de IAM con los permisos que permitan a Amazon Data Lifecycle Manager realizar acciones asociadas con operaciones de política, como crear instantáneas y AMI, copiar instantáneas y AMI, eliminar instantáneas y anular el registro de AMI. Se requieren permisos diferentes para cada uno de los tipos de política de Amazon Data Lifecycle Manager. Además, el rol también debe incluir a Amazon Data Lifecycle Manager como entidad de confianza, lo que permite a Amazon Data Lifecycle Manager asumir el rol.
Temas
Funciones de servicio predeterminadas de Amazon Data Lifecycle Manager
Amazon Data Lifecycle Manager utiliza las siguientes funciones de servicio predeterminadas:
-
AWSDataLifecycleManagerDefaultRole: función predeterminada para administrar las instantáneas. Solo confía en el servicio
dlm.amazonaws.compara asumir el rol y permite a Amazon Data Lifecycle Manager realizar las acciones requeridas por las políticas de instantáneas y de copia de instantáneas entre cuentas en su nombre. Este rol usa la políticaAWSDataLifecycleManagerServiceRoleAWS administrada.nota
El formato de ARN del rol varía en función de si se crea mediante la consola o la AWS CLI. Si el rol se crea mediante la consola, el formato de ARN es
arn:aws:iam::. Si el rol se creó con AWS CLI, el formato ARN es.account_id:role/service-role/AWSDataLifecycleManagerDefaultRolearn:aws:iam::account_id:role/AWSDataLifecycleManagerDefaultRole -
AWSDataLifecycleManagerDefaultRoleForAMIManagement: función predeterminada para administrar las AMI. Solo confía en el servicio
dlm.amazonaws.compara asumir el rol y permite a Amazon Data Lifecycle Manager realizar las acciones requeridas por las políticas de AMI respaldadas por EBS en su nombre. Este rol usa la políticaAWSDataLifecycleManagerServiceRoleForAMIManagementAWS administrada.
Si utiliza la consola Amazon Data Lifecycle Manager, Amazon Data Lifecycle Manager crea automáticamente el rol de AWSDataLifecycleManagerDefaultRoleservicio la primera vez que crea una política de instantáneas o copias de instantáneas entre cuentas, y crea automáticamente el rol de AWSDataLifecycleManagerDefaultRoleForAMIManagementservicio la primera vez que crea una política de AMI respaldada por EBS.
Si no utiliza la consola, puede crear de forma manual las funciones de servicio mediante el comando create-default-role. Para--resource-type, especifique si snapshot desea crear AWSDataLifecycleManagerDefaultRole o image crear. AWSDataLifecycleManagerDefaultRoleForAMIManagement
$aws dlm create-default-role --resource-typesnapshot|image
Si elimina las funciones de servicio predeterminadas y necesita crearlas de nuevo, puede utilizar el mismo proceso para volver a crearlas en su cuenta.
Funciones de servicio personalizadas para Amazon Data Lifecycle Manager
Como alternativa a la utilización de las funciones de servicio predeterminadas, puede crear roles de IAM personalizados con los permisos necesarios y seleccionarlos cuando cree una política de ciclo de vida.
Para crear un rol de IAM personalizado
-
Cree roles con los siguientes permisos.
-
Permisos requeridos para administrar políticas de ciclo de vida de instantáneas
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateSnapshot", "ec2:CreateSnapshots", "ec2:DeleteSnapshot", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ec2:DescribeSnapshots", "ec2:EnableFastSnapshotRestores", "ec2:DescribeFastSnapshotRestores", "ec2:DisableFastSnapshotRestores", "ec2:CopySnapshot", "ec2:ModifySnapshotAttribute", "ec2:DescribeSnapshotAttribute", "ec2:ModifySnapshotTier", "ec2:DescribeSnapshotTierStatus" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*::snapshot/*" }, { "Effect": "Allow", "Action": [ "events:PutRule", "events:DeleteRule", "events:DescribeRule", "events:EnableRule", "events:DisableRule", "events:ListTargetsByRule", "events:PutTargets", "events:RemoveTargets" ], "Resource": "arn:aws:events:*:*:rule/AwsDataLifecycleRule.managed-cwe.*" }, { "Effect": "Allow", "Action": [ "ssm:GetCommandInvocation", "ssm:ListCommands", "ssm:DescribeInstanceInformation" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:SendCommand", "ssm:DescribeDocument", "ssm:GetDocument" ], "Resource": [ "arn:aws:ssm:*:*:document/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/DLMScriptsAccess": "true" } } }, { "Effect": "Allow", "Action": [ "ssm:SendCommand", "ssm:DescribeDocument", "ssm:GetDocument" ], "Resource": [ "arn:aws:ssm:*::document/*" ] }, { "Effect": "Allow", "Action": [ "ssm:SendCommand" ], "Resource": [ "arn:aws:ec2:*:*:instance/*" ], "Condition": { "StringNotLike": { "aws:ResourceTag/DLMScriptsAccess": "false" } } } ] } -
Permisos requeridos para administrar políticas de ciclo de vida de AMI
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": [ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*::image/*" ] }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeImageAttribute", "ec2:DescribeVolumes", "ec2:DescribeSnapshots" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:DeleteSnapshot", "Resource": "arn:aws:ec2:*::snapshot/*" }, { "Effect": "Allow", "Action": [ "ec2:ResetImageAttribute", "ec2:DeregisterImage", "ec2:CreateImage", "ec2:CopyImage", "ec2:ModifyImageAttribute" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:EnableImageDeprecation", "ec2:DisableImageDeprecation" ], "Resource": "arn:aws:ec2:*::image/*" } ] }
Para obtener más información, consulte Creating a role (Creación de un rol) en Guía del usuario de IAM.
-
-
Agregue una relación de confianza a los roles.
-
En la consola de IAM, seleccione Roles (Funciones).
-
Seleccione los roles que ha creado y, a continuación, elija Trust relationships (Relaciones de confianza).
-
Elija Edit Trust Relationship (Editar relación de confianza), añada la siguiente política y después elija Update Trust Policy (Actualizar política de confianza).
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "dlm.amazonaws.com" }, "Action": "sts:AssumeRole" }] }Le recomendamos que utilice las claves de condición
aws:SourceAccountyaws:SourceArnpara protegerse contra el problema del suplente confuso. Por ejemplo, podría agregar el siguiente bloque de condición a la política de confianza anterior.aws:SourceAccountes el propietario de la política de ciclo de vida yaws:SourceArnes el ARN de la política del ciclo de vida. Si no conoce el ID de la política del ciclo de vida, puede reemplazar esa parte del ARN por un comodín (*) y, a continuación, actualizar la política de confianza después de crear la política del ciclo de vida."Condition": { "StringEquals": { "aws:SourceAccount": "account_id" }, "ArnLike": { "aws:SourceArn": "arn:partition:dlm:region:account_id:policy/policy_id" } }
-
