Usar uma política gerenciada do IAM para conceder permissões para snapshots baseados no VSS

A política gerenciada AWSEC2VssSnapshotPolicy possibilita que o Systems Manager execute as seguintes ações na instância do Windows:

• Criar e realizar a marcação de snapshots do EBS;

• Criar e realizar a marcação de imagens de máquina da Amazon (AMIs);

• Anexar metadados, como o ID do dispositivo, às etiquetas de snapshot padrão criadas pelo VSS.

Este tópico abrange os detalhes da permissão para a política gerenciada do VSS e como anexá-la ao perfil do IAM do perfil de instância do EC2.

Detalhes da política gerenciada AWSEC2VssSnapshotPolicy

Uma política gerenciada pela AWS é uma política autônoma que a Amazon fornece aos clientes da AWS. As políticas gerenciadas pela AWS são projetadas para conceder permissões para casos de uso conhecidos. Não é possível alterar as permissões definidas nas políticas gerenciadas pela AWS. No entanto, você pode copiar a política e usá-la como referência para o desenvolvimento de uma política gerenciada pelo cliente específica ao seu caso de uso.

Para ter mais informações sobre as políticas gerenciadas da AWS, consulte Políticas gerenciadas da AWS no Guia do usuário do IAM.

Para usar a política gerenciada AWSEC2VssSnapshotPolicy, você pode anexá-la ao perfil do IAM anexado às instâncias EC2 Windows. Essa política possibilita que a solução VSS do EC2 crie e adicione etiquetas a imagens de máquina da Amazon (AMIs) e a snapshots do EBS. Para anexar a política, consulte Anexar a política gerenciada de snapshot baseado no VSS ao perfil de instância.

Permissões concedidas pelo AWSEC2VssSnapshotPolicy

A política AWSEC2VssSnapshotPolicy inclui as permissões a seguir do Amazon EC2 que possibilitam que o Amazon EC2 crie e gerencie snapshots do VSS em seu nome. Você pode anexar essa política gerenciada ao perfil de instância do IAM usado para as instâncias EC2 Windows.

• ec2:CreateTags: adicione etiquetas a snapshots e a AMIs do EBS para ajudar na identificação e na categorização dos recursos.

• ec2:DescribeInstanceAttribute: recupere os volumes do EBS e os mapeamentos de dispositivos de bloco correspondentes que estão anexados à instância de destino.

• ec2:CreateSnapshots: crie snapshots de volumes do EBS.

• ec2:CreateImage: crie uma AMI usando uma instância do EC2 em execução.

• ec2:DescribeImages: recupere as informações para AMIs e snapshots do EC2.

• ec2:DescribeSnapshots: defina o horário de criação e o status dos snapshots para verificar a consistência da aplicação.

nota

Para visualizar os detalhes da permissão para esta política, consulte AWSEC2VssSnapshotPolicy na Referência de políticas gerenciadas pela AWS.

Otimizar as permissões para casos de uso específicos (avançado)

A política gerenciada AWSEC2VssSnapshotPolicy inclui permissões para todas as formas pelas quais é possível criar snapshots baseados no VSS. É possível criar uma política personalizada que inclua somente as permissões de que você precisa.

Caso de uso: criar uma AMI | Caso de uso: usar o serviço AWS Backup

Caso use exclusivamente a opção CreateAmi ou crie snapshots baseados no VSS somente por meio do serviço do AWS Backup, você poderá otimizar as instruções de política conforme apresentado a seguir.

• Omissão das declarações de política identificadas pelos seguintes IDs de declaração (SIDs):

  • CreateSnapshotsWithTag

  • CreateSnapshotsAccessInstance

  • CreateSnapshotsAccessVolume

• Ajuste da instrução CreateTagsOnResourceCreation da seguinte maneira:

  • Remova arn:aws:ec2:*:*:snapshot/* dos recursos.

  • Remova CreateSnapshots da condição ec2:CreateAction.

• Ajuste da instrução CreateTagsAfterResourceCreation para remover arn:aws:ec2:*:*:snapshot/* dos recursos.

• Ajuste da instrução DescribeImagesAndSnapshots para remover ec2:DescribeSnapshots da ação da instrução.

Caso de uso: somente snapshots

Se você não usar a opção CreateAmi, poderá simplificar as declarações de política conforme apresentado a seguir.

• Omissão das declarações de política identificadas pelos seguintes IDs de declaração (SIDs):

  • CreateImageAccessInstance

  • CreateImageWithTag

• Ajuste da instrução CreateTagsOnResourceCreation da seguinte maneira:

  • Remova arn:aws:ec2:*:*:image/* dos recursos.

  • Remova CreateImage da condição ec2:CreateAction.

• Ajuste da instrução CreateTagsAfterResourceCreation para remover arn:aws:ec2:*:*:image/* dos recursos.

• Ajuste da instrução DescribeImagesAndSnapshots para remover ec2:DescribeImages da ação da instrução.

nota

Para garantir que a política personalizada funcione conforme o esperado, recomendamos analisar e incorporar atualizações regularmente à política gerenciada.

Anexar a política gerenciada de snapshot baseado no VSS ao perfil de instância

Para conceder permissões para snapshots baseados no VSS para a instância EC2 Windows, anexe a política gerenciada AWSEC2VssSnapshotPolicy ao perfil de instância conforme apresentado a seguir. É importante garantir que a instância atenda a todos os Requisitos do sistema.

nota

Para usar a política gerenciada, a instância deve ter o pacote AwsVssComponents na versão 2.3.1 ou em versões posteriores instalado. Para obter o histórico de versões, consulte Versões do pacote AwsVssComponents.

1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

2. No painel de navegação, escolha Perfis para visualizar uma lista de perfis do IAM aos quais você tem acesso.

3. Selecione o link Nome do perfil para o perfil anexado à instância. Isso abre a página de detalhes do perfil.

4. Para anexar a política gerenciada, escolha a opção Adicionar permissões, localizada no canto superior direito do painel da lista. Em seguida, selecione Anexar políticas na lista suspensa.

5. Para agilizar os resultados, insira o nome da política na barra de pesquisa (AWSEC2VssSnapshotPolicy).

6. Marque a caixa de seleção ao lado do nome da política a ser anexada e escolha Adicionar permissões.