Ruoli di servizio IAM - Amazon EBS
Ruoli di servizio predefiniti per Amazon Data Lifecycle ManagerRuoli di servizio personalizzati per Amazon Data Lifecycle Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ruoli di servizio IAM

Un ruolo AWS Identity and Access Management (IAM) è simile a quello di un utente, in quanto è un' AWS identità con politiche di autorizzazione che determinano ciò che l'identità può e non può fare. AWS Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque. Un ruolo di servizio è un ruolo che un AWS servizio assume per eseguire azioni per conto dell'utente. In quanto servizio che esegue le operazioni di backup per tuo conto, Amazon Data Lifecycle Manager richiede che tu fornisca un ruolo da assumere durante l'esecuzione di operazioni di policy per tuo conto. Per ulteriori informazioni sui ruoli IAM, consulta Ruoli IAM nella Guida per l'utente di IAM.

Il ruolo che fornisci ad Amazon Data Lifecycle Manager deve disporre di una policy IAM con autorizzazioni che consentono ad Amazon Data Lifecycle Manager di eseguire operazioni associate alle operazioni di policy, ad esempio la creazione di snapshot e AMI, la copia di snapshot e AMI, l'eliminazione di snapshot e l'annullamento della registrazione delle AMI. Sono necessarie autorizzazioni diverse per ciascuno dei tipi di policy di Amazon Data Lifecycle Manager. È inoltre necessario che Amazon Data Lifecycle Manager sia presente nell'elenco delle entità attendibili per il ruolo, permettendo quindi ad Amazon Data Lifecycle Manager di assumere quel ruolo.

Ruoli di servizio predefiniti per Amazon Data Lifecycle Manager

Amazon Data Lifecycle Manager utilizza i seguenti ruoli di servizio predefiniti:

  • AWSDataLifecycleManagerDefaultRole: ruolo predefinito per la gestione delle istantanee. Considera attendibile per assumere il ruolo solo il servizio dlm.amazonaws.com e consente ad Amazon Data Lifecycle Manager di eseguire le operazioni richieste dalle policy di copia di snapshot e snapshot tra account per tuo conto. Questo ruolo utilizza la policy AWSDataLifecycleManagerServiceRole AWS gestita.

    Nota

    Il formato ARN del ruolo varia a seconda che sia stato creato utilizzando la console o la AWS CLI. Se il ruolo è stato creato utilizzando la console, il formato ARN è arn:aws:iam::account_id:role/service-role/AWSDataLifecycleManagerDefaultRole. Se il ruolo è stato creato utilizzando il AWS CLI, il formato ARN è. arn:aws:iam::account_id:role/AWSDataLifecycleManagerDefaultRole

  • AWSDataLifecycleManagerDefaultRoleForAMIManagement—ruolo predefinito per la gestione delle AMI. Considera attendibile per assumere il ruolo solo il servizio dlm.amazonaws.com e consente ad Amazon Data Lifecycle Manager di eseguire le operazioni richieste dalle policy AMI EBS-backed per tuo conto. Questo ruolo utilizza la policy AWSDataLifecycleManagerServiceRoleForAMIManagement AWS gestita.

Se utilizzi la console Amazon Data Lifecycle Manager, Amazon Data Lifecycle Manager AWSDataLifecycleManagerDefaultRolecrea automaticamente il ruolo di servizio la prima volta che crei uno snapshot o una policy di copia degli snapshot tra account e AWSDataLifecycleManagerDefaultRoleForAMIManagementcrea automaticamente il ruolo di servizio la prima volta che crei una policy AMI supportata da EBS.

Se non utilizzi la console, puoi creare manualmente i ruoli di servizio utilizzando il comando create-default-role. Per--resource-type, specifica di creare o creare. snapshot AWSDataLifecycleManagerDefaultRole image AWSDataLifecycleManagerDefaultRoleForAMIManagement

$ aws dlm create-default-role --resource-type snapshot|image

Se elimini i ruoli di servizio predefiniti e quindi devi crearli di nuovo, puoi utilizzare lo stesso processo per ricreare i ruoli nel tuo account.

Ruoli di servizio personalizzati per Amazon Data Lifecycle Manager

In alternativa all'utilizzo di ruoli di servizio predefiniti, puoi creare ruoli IAM personalizzati con le autorizzazioni necessarie e selezionarli durante la creazione della policy del ciclo di vita.

Per creare un ruolo IAM personalizzato

  1. Creare ruoli con le seguenti autorizzazioni.

    • Autorizzazioni necessarie per la gestione delle policy del ciclo di vita degli snapshot

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateSnapshot",
                "ec2:CreateSnapshots",
                "ec2:DeleteSnapshot",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ec2:DescribeSnapshots",
                "ec2:EnableFastSnapshotRestores",
                "ec2:DescribeFastSnapshotRestores",
                "ec2:DisableFastSnapshotRestores",
                "ec2:CopySnapshot",
                "ec2:ModifySnapshotAttribute",
                "ec2:DescribeSnapshotAttribute",
                "ec2:ModifySnapshotTier",
                "ec2:DescribeSnapshotTierStatus"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "events:PutRule",
                "events:DeleteRule",
                "events:DescribeRule",
                "events:EnableRule",
                "events:DisableRule",
                "events:ListTargetsByRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
            "Resource": "arn:aws:events:*:*:rule/AwsDataLifecycleRule.managed-cwe.*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetCommandInvocation",
                "ssm:ListCommands",
                "ssm:DescribeInstanceInformation"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand",
                "ssm:DescribeDocument",
                "ssm:GetDocument"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:document/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/DLMScriptsAccess": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand",
                "ssm:DescribeDocument",
                "ssm:GetDocument"
            ],
            "Resource": [
                "arn:aws:ssm:*::document/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*"
            ],
            "Condition": {
                "StringNotLike": {
                    "aws:ResourceTag/DLMScriptsAccess": "false"
                }
            }
        }
    ]
}

    • Autorizzazioni necessarie per la gestione delle policy del ciclo di vita delle AMI

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": [
                "arn:aws:ec2:*::snapshot/*",
                "arn:aws:ec2:*::image/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages",
                "ec2:DescribeInstances",
                "ec2:DescribeImageAttribute",
                "ec2:DescribeVolumes",
                "ec2:DescribeSnapshots"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteSnapshot",
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ResetImageAttribute",
                "ec2:DeregisterImage",
                "ec2:CreateImage",
                "ec2:CopyImage",
                "ec2:ModifyImageAttribute"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:EnableImageDeprecation",
                "ec2:DisableImageDeprecation"
            ],
            "Resource": "arn:aws:ec2:*::image/*"
        }
    ]
}

    Per ulteriori informazioni, consulta la pagina relativa alla creazione di un ruolo nella Guida per l'utente di IAM.

  2. Aggiungere una relazione di trust ai ruoli.

    1. Nella console IAM, scegliere Roles (Ruoli).

    2. Seleziona i ruoli appena creati e quindi scegli Trust relationships (Relazioni di affidabilità).

    3. Selezionare Edit Trust Relationship (Modifica relazione di trust), aggiungere la seguente policy e quindi scegliere Update Trust Policy (Aggiorna policy di trust).

      {
	"Version": "2012-10-17",
	"Statement": [{
		"Effect": "Allow",
		"Principal": {
			"Service": "dlm.amazonaws.com"
		},
		"Action": "sts:AssumeRole"
	}]
}

      Si consiglia di utilizzare il le chiavi di condizione aws:SourceAccount e aws:SourceArn per proteggersi dal problema del "confused deputy". Ad esempio, è possibile aggiungere il seguente blocco di condizione alla policy di attendibilità precedente. aws:SourceAccount è il proprietario della policy del ciclo di vita e aws:SourceArn è l'ARN della policy del ciclo di vita. Se non si conosce l'ID policy del ciclo di vita, è possibile sostituire quella parte dell'ARN con un carattere jolly (*) e quindi aggiornare la policy di attendibilità dopo aver creato la policy del ciclo di vita.

      "Condition": {
    "StringEquals": {
        "aws:SourceAccount": "account_id"
    },
    "ArnLike": {
        "aws:SourceArn": "arn:partition:dlm:region:account_id:policy/policy_id"
    }
}