AWS 托管策略
AWS 托管式策略是由 AWS 创建和管理的独立策略。AWS 托管策略可用于为很多常用案例提供权限。与必须自己编写策略相比,通过 AWS 托管策略可以更高效地将适当的权限分配给用户、组和角色。
但是,您不能更改 AWS 托管式策略中定义的权限。AWS 有时会更新 AWS 托管策略中定义的权限。当发生此情况时,更新会影响策略附加到的所有委托人实体(用户、组和角色)。
Amazon Data Lifecycle Manager 提供了适用于常见使用案例的两个 AWS 托管策略。通过这些策略可以更高效地定义适当的权限,并控制对资源的访问。Amazon Data Lifecycle Manager 提供的 AWS 托管策略旨在附加到您传递给 Amazon Data Lifecycle Manager 的角色。
以下是 Amazon Data Lifecycle Manager 提供的 AWS 托管策略。您还可以在 IAM 控制台的 Policies(策略)部分中找到这些 AWS 托管策略。
- AWSDataLifecycleManagerServiceRole
-
AWSDataLifecycleManagerServiceRole 策略为 Amazon Data Lifecycle Manager 提供了相应权限,以创建和管理 Amazon EBS 快照策略和跨帐户复制事件策略。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateSnapshot",
"ec2:CreateSnapshots",
"ec2:DeleteSnapshot",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ec2:DescribeSnapshots",
"ec2:EnableFastSnapshotRestores",
"ec2:DescribeFastSnapshotRestores",
"ec2:DisableFastSnapshotRestores",
"ec2:CopySnapshot",
"ec2:ModifySnapshotAttribute",
"ec2:DescribeSnapshotAttribute",
"ec2:ModifySnapshotTier",
"ec2:DescribeSnapshotTierStatus"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:DeleteRule",
"events:DescribeRule",
"events:EnableRule",
"events:DisableRule",
"events:ListTargetsByRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": "arn:aws:events:*:*:rule/AwsDataLifecycleRule.managed-cwe.*"
}
]
}
- AWSDataLifecycleManagerServiceRoleForAMIManagement
-
AWSDataLifecycleManagerServiceRoleForAMIManagement 策略为 Amazon Data Lifecycle Manager 提供了相应权限,以创建和管理Amazon EBS-backed AMI 策略。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": [
"arn:aws:ec2:*::snapshot/*",
"arn:aws:ec2:*::image/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeImageAttribute",
"ec2:DescribeVolumes",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DeleteSnapshot",
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Effect": "Allow",
"Action": [
"ec2:ResetImageAttribute",
"ec2:DeregisterImage",
"ec2:CreateImage",
"ec2:CopyImage",
"ec2:ModifyImageAttribute"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:EnableImageDeprecation",
"ec2:DisableImageDeprecation"
],
"Resource": "arn:aws:ec2:*::image/*"
}
]
}
AWS 托管式策略更新
AWS 服务负责维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管式策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 AWS 托管式策略。服务不会从 AWS 托管式策略中删除权限,因此策略更新不会破坏您的现有权限。
下表提供了关于 Amazon Data Lifecycle Manager 的 AWS 托管式策略更新的详细信息(从该服务开始跟踪这些更改开始)。要获得有关此页面更改的自动提示,请订阅 文档历史记录 上的 RSS 源。
| 更改 |
说明 |
日期 |
| AWSDataLifecycleManagerServiceRole – 增加了支持快照存档的权限。 |
Amazon Data Lifecycle Manager 增加了 ec2:ModifySnapshotTier 和 ec2:DescribeSnapshotTierStatus 操作,以向快照策略授予将快照存档和检查快照存档状态的权限。 |
2022 年 9 月 30 日 |
| AWSDataLifecycleManagerServiceRoleForAMIManagement — 添加了支持 AMI 弃用的权限。 |
Amazon Data Lifecycle Manager 添加了 ec2:EnableImageDeprecation 和 ec2:DisableImageDeprecation 操作以授予 EBS 支持的 AMI 策略权限,从而启用和禁用 AMI 弃用。 |
2021 年 8 月 23 日 |
| Amazon Data Lifecycle Manager 已开启跟踪更改 |
Amazon Data Lifecycle Manager 已开始跟踪其 AWS 托管式策略的更改。 |
2021 年 8 月 23 日 |
