Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Ruoli del servizio IAM per Amazon Data Lifecycle Manager
Un ruolo AWS Identity and Access Management (IAM) è simile a quello di un utente, in quanto è un' AWS identità con politiche di autorizzazione che determinano ciò che l'identità può e non può fare. AWS Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque. Un ruolo di servizio è un ruolo che un AWS servizio assume per eseguire azioni per conto dell'utente. In quanto servizio che esegue le operazioni di backup per tuo conto, Amazon Data Lifecycle Manager richiede che tu fornisca un ruolo da assumere durante l'esecuzione di operazioni di policy per tuo conto. Per ulteriori informazioni sui ruoli IAM, consulta [Ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) nella *Guida per l'utente di IAM*.
Il ruolo che passi ad Amazon Data Lifecycle Manager deve disporre di una policy IAM con le autorizzazioni che consentano ad Amazon Data Lifecycle Manager di eseguire azioni associate alle operazioni relative alle policy, come la creazione di snapshot, la copia di snapshot, l'eliminazione di snapshot AMIs e l'annullamento della registrazione. AMIs AMIs Sono necessarie autorizzazioni diverse per ciascuno dei tipi di policy di Amazon Data Lifecycle Manager. È inoltre necessario che Amazon Data Lifecycle Manager sia presente nell'elenco delle entità attendibili per il ruolo, permettendo quindi ad Amazon Data Lifecycle Manager di assumere quel ruolo.
**Topics**
+ [Ruoli di servizio predefiniti per Amazon Data Lifecycle Manager](#default-service-roles)
+ [Ruoli di servizio personalizzati per Amazon Data Lifecycle Manager](#custom-role)
## Ruoli di servizio predefiniti per Amazon Data Lifecycle Manager
Amazon Data Lifecycle Manager utilizza i seguenti ruoli di servizio predefiniti:
+ **AWSDataLifecycleManagerDefaultRole**—ruolo predefinito per la gestione degli snapshot. Considera attendibile per assumere il ruolo solo il servizio `dlm.amazonaws.com` e consente ad Amazon Data Lifecycle Manager di eseguire le operazioni richieste dalle policy di copia di snapshot e snapshot tra account per tuo conto. Questo ruolo utilizza la policy ` AWSDataLifecycleManagerServiceRole` AWS gestita.
**Nota**
Il formato ARN del ruolo varia a seconda che sia stato creato utilizzando la console o la AWS CLI. Se il ruolo è stato creato utilizzando la console, il formato ARN è `arn:aws:iam::account_id:role/service-role/AWSDataLifecycleManagerDefaultRole`. Se il ruolo è stato creato utilizzando il AWS CLI, il formato ARN è. `arn:aws:iam::account_id:role/AWSDataLifecycleManagerDefaultRole`
+ **AWSDataLifecycleManagerDefaultRoleForAMIManagement**—ruolo predefinito per la gestione. AMIs Considera attendibile per assumere il ruolo solo il servizio `dlm.amazonaws.com` e consente ad Amazon Data Lifecycle Manager di eseguire le operazioni richieste dalle policy AMI EBS-backed per tuo conto. Questo ruolo utilizza la politica `AWSDataLifecycleManagerServiceRoleForAMIManagement` AWS gestita.
Se utilizzi la console Amazon Data Lifecycle Manager, Amazon Data Lifecycle Manager **AWSDataLifecycleManagerDefaultRole**crea automaticamente il ruolo di servizio la prima volta che crei uno snapshot o una policy di copia degli snapshot tra account e **AWSDataLifecycleManagerDefaultRoleForAMIManagement**crea automaticamente il ruolo di servizio la prima volta che crei una policy AMI supportata da EBS.
Se non utilizzi la console, puoi creare manualmente i ruoli di servizio utilizzando il comando. [create-default-role](https://docs.aws.amazon.com/cli/latest/reference/dlm/create-default-role.html) Per`--resource-type`, specifica `snapshot` di creare AWSData LifecycleManagerDefaultRole o `image` creare AWSData LifecycleManagerDefaultRoleForAMIManagement.
```
$ aws dlm create-default-role --resource-type snapshot|image
```
Se elimini i ruoli di servizio predefiniti e quindi devi crearli di nuovo, puoi utilizzare lo stesso processo per ricreare i ruoli nel tuo account.
## Ruoli di servizio personalizzati per Amazon Data Lifecycle Manager
In alternativa all'utilizzo di ruoli di servizio predefiniti, puoi creare ruoli IAM personalizzati con le autorizzazioni necessarie e selezionarli durante la creazione della policy del ciclo di vita.
**Per creare un ruolo IAM personalizzato**
1. Creare ruoli con le seguenti autorizzazioni.
+ Autorizzazioni necessarie per la gestione delle policy del ciclo di vita degli snapshot
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateSnapshot",
"ec2:CreateSnapshots",
"ec2:DeleteSnapshot",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ec2:DescribeSnapshots",
"ec2:EnableFastSnapshotRestores",
"ec2:DescribeFastSnapshotRestores",
"ec2:DisableFastSnapshotRestores",
"ec2:CopySnapshot",
"ec2:ModifySnapshotAttribute",
"ec2:DescribeSnapshotAttribute",
"ec2:ModifySnapshotTier",
"ec2:DescribeSnapshotTierStatus",
"ec2:DescribeAvailabilityZones"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:DeleteRule",
"events:DescribeRule",
"events:EnableRule",
"events:DisableRule",
"events:ListTargetsByRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": "arn:aws:events:*:*:rule/AwsDataLifecycleRule.managed-cwe.*"
},
{
"Effect": "Allow",
"Action": [
"ssm:GetCommandInvocation",
"ssm:ListCommands",
"ssm:DescribeInstanceInformation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:DescribeDocument",
"ssm:GetDocument"
],
"Resource": [
"arn:aws:ssm:*:*:document/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/DLMScriptsAccess": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:DescribeDocument",
"ssm:GetDocument"
],
"Resource": [
"arn:aws:ssm:*::document/*"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"StringNotLike": {
"aws:ResourceTag/DLMScriptsAccess": "false"
}
}
}
]
}
```
------
+ Autorizzazioni necessarie per la gestione delle policy del ciclo di vita delle AMI
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": [
"arn:aws:ec2:*::snapshot/*",
"arn:aws:ec2:*::image/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeImageAttribute",
"ec2:DescribeVolumes",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DeleteSnapshot",
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Effect": "Allow",
"Action": [
"ec2:ResetImageAttribute",
"ec2:DeregisterImage",
"ec2:CreateImage",
"ec2:CopyImage",
"ec2:ModifyImageAttribute"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:EnableImageDeprecation",
"ec2:DisableImageDeprecation"
],
"Resource": "arn:aws:ec2:*::image/*"
}
]
}
```
------
Per ulteriori informazioni, consulta la pagina relativa alla [creazione di un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) nella *Guida per l'utente di IAM*.
1. Aggiungere una relazione di trust ai ruoli.
1. Nella console IAM, scegliere **Roles (Ruoli)**.
1. Seleziona i ruoli appena creati e quindi scegli **Trust relationships** (Relazioni di affidabilità).
1. Selezionare **Edit Trust Relationship (Modifica relazione di trust)**, aggiungere la seguente policy e quindi scegliere **Update Trust Policy (Aggiorna policy di trust)**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"Service": "dlm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}]
}
```
------
Si consiglia di utilizzare il le chiavi di condizione `aws:SourceAccount` e `aws:SourceArn` per proteggersi dal [problema del "confused deputy"](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html). Ad esempio, è possibile aggiungere il seguente blocco di condizione alla policy di attendibilità precedente. `aws:SourceAccount` è il proprietario della policy del ciclo di vita e `aws:SourceArn` è l'ARN della policy del ciclo di vita. Se non si conosce l'ID policy del ciclo di vita, è possibile sostituire quella parte dell'ARN con un carattere jolly (`*`) e quindi aggiornare la policy di attendibilità dopo aver creato la policy del ciclo di vita.
```
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account_id"
},
"ArnLike": {
"aws:SourceArn": "arn:partition:dlm:region:account_id:policy/policy_id"
}
}
```