Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
IAMrôles de service pour Amazon Data Lifecycle Manager
Un rôle AWS Identity and Access Management (IAM) est similaire à un utilisateur, en ce sens qu'il s'agit d'une AWS identité dotée de politiques d'autorisation qui déterminent ce que l'identité peut et ne peut pas faire AWS. En revanche, au lieu d’être associé de manière unique à une personne, un rôle est conçu pour être assumé par tout utilisateur qui en a besoin. Un rôle de service est un rôle qu'un AWS service assume pour effectuer des actions en votre nom. Amazon Data Lifecycle Manager étant le service qui effectue des opérations de sauvegarde en votre nom, vous devez lui transmettre un rôle à assumer lorsqu’il effectue des opérations de politique en votre nom. Pour plus d'informations sur IAM les rôles, consultez la section IAMRôles du guide de IAM l'utilisateur.
Le rôle que vous transmettez à Amazon Data Lifecycle Manager doit disposer d'une IAM politique comportant les autorisations permettant à Amazon Data Lifecycle Manager d'effectuer des actions associées aux opérations de politique, telles que la création de snapshots, la copie de snapshotsAMIs, la suppression de snapshots et AMIs le désenregistrement. AMIs Chaque type de politique Amazon Data Lifecycle Manager nécessite des autorisations différentes. Amazon Data Lifecycle Manager doit également être répertorié comme entité approuvée par le rôle, ce qui permet à Amazon Data Lifecycle Manager d’assumer ce rôle.
Rubriques
Fonctions du service par défaut pour Amazon Data Lifecycle Manager
Amazon Data Lifecycle Manager utilise les fonctions du service par défaut suivantes :
-
AWSDataLifecycleManagerDefaultRole: rôle par défaut pour la gestion des instantanés. Il ne fait confiance qu’au service
dlm.amazonaws.compour assumer ce rôle et il permet à Amazon Data Lifecycle Manager d’effectuer en votre nom les actions requises par les politiques d’instantané et de copie d’instantané inter-comptes. Ce rôle utilise la politiqueAWSDataLifecycleManagerServiceRoleAWS gérée.Note
Le ARN format du rôle varie selon qu'il a été créé à l'aide de la console ou du AWS CLI. Si le rôle a été créé à l'aide de la console, le ARN format est
arn:aws:iam::. Si le rôle a été créé à l'aide du AWS CLI, le ARN format estaccount_id:role/service-role/AWSDataLifecycleManagerDefaultRolearn:aws:iam::.account_id:role/AWSDataLifecycleManagerDefaultRole -
AWSDataLifecycleManagerDefaultRoleForAMIManagement: rôle par défaut pour la gestionAMIs. Il fait confiance uniquement au
dlm.amazonaws.comservice pour assumer ce rôle et permet à Amazon Data Lifecycle Manager d'effectuer les actions requises par les AMI politiques EBS soutenues par des politiques en votre nom. Ce rôle utilise la politiqueAWSDataLifecycleManagerServiceRoleForAMIManagementAWS gérée.
Si vous utilisez la console Amazon Data Lifecycle Manager, Amazon Data Lifecycle Manager crée automatiquement le rôle de AWSDataLifecycleManagerDefaultRoleservice la première fois que vous créez une politique de capture instantanée ou de copie instantanée entre comptes, et crée automatiquement le rôle de AWSDataLifecycleManagerDefaultRoleForAMIManagementservice la première fois que vous créez une politique basée sur un EBS support. AMI
Si vous n'utilisez pas la console, vous pouvez créer manuellement les rôles de service à l'aide de la create-default-rolecommande. Pour--resource-type, spécifiez snapshot créer AWSDataLifecycleManagerDefaultRole ou image créer AWSDataLifecycleManagerDefaultRoleForAMIManagement.
$aws dlm create-default-role --resource-typesnapshot|image
Si vous supprimez les fonctions du service par défaut et que par la suite vous avez besoin de les recréer, vous pourrez utiliser la même procédure pour recréer les rôles dans votre compte.
Fonctions du service personnalisées pour Amazon Data Lifecycle Manager
Au lieu d'utiliser les rôles de service par défaut, vous pouvez créer des IAM rôles personnalisés dotés des autorisations requises, puis les sélectionner lorsque vous créez une politique de cycle de vie.
Pour créer un rôle IAM personnalisé
-
Créez des rôles avec les autorisations suivantes.
-
Autorisations requises pour la gestion des politiques de cycle de vie des instantanés
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateSnapshot", "ec2:CreateSnapshots", "ec2:DeleteSnapshot", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ec2:DescribeSnapshots", "ec2:EnableFastSnapshotRestores", "ec2:DescribeFastSnapshotRestores", "ec2:DisableFastSnapshotRestores", "ec2:CopySnapshot", "ec2:ModifySnapshotAttribute", "ec2:DescribeSnapshotAttribute", "ec2:ModifySnapshotTier", "ec2:DescribeSnapshotTierStatus" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*::snapshot/*" }, { "Effect": "Allow", "Action": [ "events:PutRule", "events:DeleteRule", "events:DescribeRule", "events:EnableRule", "events:DisableRule", "events:ListTargetsByRule", "events:PutTargets", "events:RemoveTargets" ], "Resource": "arn:aws:events:*:*:rule/AwsDataLifecycleRule.managed-cwe.*" }, { "Effect": "Allow", "Action": [ "ssm:GetCommandInvocation", "ssm:ListCommands", "ssm:DescribeInstanceInformation" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:SendCommand", "ssm:DescribeDocument", "ssm:GetDocument" ], "Resource": [ "arn:aws:ssm:*:*:document/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/DLMScriptsAccess": "true" } } }, { "Effect": "Allow", "Action": [ "ssm:SendCommand", "ssm:DescribeDocument", "ssm:GetDocument" ], "Resource": [ "arn:aws:ssm:*::document/*" ] }, { "Effect": "Allow", "Action": [ "ssm:SendCommand" ], "Resource": [ "arn:aws:ec2:*:*:instance/*" ], "Condition": { "StringNotLike": { "aws:ResourceTag/DLMScriptsAccess": "false" } } } ] } -
Autorisations requises pour gérer les politiques de AMI cycle de vie
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": [ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*::image/*" ] }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeImageAttribute", "ec2:DescribeVolumes", "ec2:DescribeSnapshots" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:DeleteSnapshot", "Resource": "arn:aws:ec2:*::snapshot/*" }, { "Effect": "Allow", "Action": [ "ec2:ResetImageAttribute", "ec2:DeregisterImage", "ec2:CreateImage", "ec2:CopyImage", "ec2:ModifyImageAttribute" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:EnableImageDeprecation", "ec2:DisableImageDeprecation" ], "Resource": "arn:aws:ec2:*::image/*" } ] }
Pour plus d'informations, consultez la section Création d'un rôle dans le guide de IAM l'utilisateur.
-
-
Ajoutez une relation d’approbation aux rôles.
-
Dans la console IAM, choisissez Rôles.
-
Sélectionnez les rôles que vous avez créés, puis sélectionnez Trust relationships (Relations d’approbation).
-
Choisissez Modifier la relation d’approbation, ajoutez la stratégie suivante, puis choisissez Mettre à jour la stratégie d’approbation.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "dlm.amazonaws.com" }, "Action": "sts:AssumeRole" }] }Nous vous recommandons d’utiliser les clés de condition
aws:SourceAccountetaws:SourceArnpour vous protéger contre le problème du député confus. Par exemple, vous pouvez ajouter le bloc de condition suivant à la stratégie d’approbation précédente.aws:SourceAccountIl est le propriétaire de la politique de cycle de vie etaws:SourceArnest le propriétaire ARN de la politique de cycle de vie. Si vous ne connaissez pas l'ID de politique de cycle de vie, vous pouvez remplacer cette partie par un caractère générique (*), puis mettre à jour la politique de confiance après avoir créé la politique de cycle de vie. ARN"Condition": { "StringEquals": { "aws:SourceAccount": "account_id" }, "ArnLike": { "aws:SourceArn": "arn:partition:dlm:region:account_id:policy/policy_id" } }
-
