使用 IAM 控制对 Amazon Data Lifecycle Manager 的访问
Amazon Data Lifecycle Manager 的访问需要凭据。这些凭证必须拥有权限访问 AWS 资源,如实例、卷、快照和 AMI。
使用 Amazon Data Lifecycle Manager 需要以下 IAM 权限。
注意
-
仅控制台用户需要
ec2:DescribeAvailabilityZones、ec2:DescribeRegions、kms:ListAliases和kms:DescribeKey权限。如果不需要访问控制台,则可以删除权限。 -
AWSDataLifecycleManagerDefaultRole 角色的 ARN 格式会有所不同,具体取决于使用控制台还是 AWS CLI 创建角色。如果使用控制台创建角色,则 ARN 格式为
arn:aws:iam::。如果使用 AWS CLI 创建角色,则 ARN 格式为account_id:role/service-role/AWSDataLifecycleManagerDefaultRolearn:aws:iam::。account_id:role/AWSDataLifecycleManagerDefaultRole
加密权限
使用 Amazon Data Lifecycle Manager 和加密资源时,请考虑以下情况。
-
如果源卷已加密,请确保 Amazon Data Lifecycle Manager 默认角色(Amazon Web Services DataLifecycleManagerDefaultRole 和Amazon Web Services DataLifecycleManagerDefaultRoleForAMIManagement)有权使用用于加密卷的 KMS 密钥。
-
如果您为未加密快照或未加密快照支持的 AMI 启用跨区域复制,并选择在目标区域中启用加密,请确保默认角色有权使用在目标区域中执行加密所需的 KMS 密钥。
-
如果您为加密快照或加密快照支持的 AMI 启用跨区域复制,请确保默认角色有权同时使用源和目标 KMS 密钥。
-
如果您为加密快照启用快照归档,请确保 Amazon Data Lifecycle Manager 默认角色(AWSDataLifecycleManagerDefaultRole)有权使用用于加密快照的 KMS 密钥。
有关更多信息,请参阅 AWS Key Management Service 开发人员指南中的允许其他账户中的用户使用 KMS 密钥。
有关更多信息,请参阅《IAM 用户指南》中的更改用户权限。
