AWS 托管策略 - Amazon EBS

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS 托管策略

AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限。 AWS 与必须自己编写策略相比,托管策略可以更有效地为用户、组和角色分配适当的权限。

但是,您无法更改 AWS 托管策略中定义的权限。 AWS 偶尔会更新 AWS 托管策略中定义的权限。当发生此情况时,更新会影响策略附加到的所有委托人实体(用户、组和角色)。

Amazon Data Lifecycle Manager 为常见用例提供 AWS 托管策略。通过这些策略可以更高效地定义适当的权限,并控制对资源的访问。Amazon Data Lifecycle Manager 提供的 AWS 托管策略旨在附加到您传递给亚马逊数据生命周期管理器的角色。

AWSDataLifecycleManagerServiceRole

AWSDataLifecycleManagerServiceRole政策为 Amazon Data Lifecycle Manager 提供了创建和管理亚马逊 EBS 快照策略和跨账户复制事件策略的相应权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateSnapshot", "ec2:CreateSnapshots", "ec2:DeleteSnapshot", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ec2:DescribeSnapshots", "ec2:EnableFastSnapshotRestores", "ec2:DescribeFastSnapshotRestores", "ec2:DisableFastSnapshotRestores", "ec2:CopySnapshot", "ec2:ModifySnapshotAttribute", "ec2:DescribeSnapshotAttribute", "ec2:ModifySnapshotTier", "ec2:DescribeSnapshotTierStatus" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*::snapshot/*" }, { "Effect": "Allow", "Action": [ "events:PutRule", "events:DeleteRule", "events:DescribeRule", "events:EnableRule", "events:DisableRule", "events:ListTargetsByRule", "events:PutTargets", "events:RemoveTargets" ], "Resource": "arn:aws:events:*:*:rule/AwsDataLifecycleRule.managed-cwe.*" } ] }

AWSDataLifecycleManagerServiceRoleForAMIManagement

AWSDataLifecycleManagerServiceRoleForAMIManagement政策为亚马逊 Data Lifecycle Manager 提供了创建和管理由亚马逊 EBS 支持的 AMI 策略的相应权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": [ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*::image/*" ] }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeImageAttribute", "ec2:DescribeVolumes", "ec2:DescribeSnapshots" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:DeleteSnapshot", "Resource": "arn:aws:ec2:*::snapshot/*" }, { "Effect": "Allow", "Action": [ "ec2:ResetImageAttribute", "ec2:DeregisterImage", "ec2:CreateImage", "ec2:CopyImage", "ec2:ModifyImageAttribute" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:EnableImageDeprecation", "ec2:DisableImageDeprecation" ], "Resource": "arn:aws:ec2:*::image/*" } ] }

AWSDataLifecycleManagerSSMFullAccess

提供 Amazon Data Lifecycle Manager 权限,允许其执行在所有 Amazon EC2 实例上运行前置和后置脚本所需的 Systems Manager 操作。

重要

使用前置和后置脚本时,该策略使用 aws:ResourceTag 条件键来限制对特定 SSM 文档的访问权限。要允许 Amazon Data Lifecycle Manager 访问 SSM 文档,您必须确保您的 SSM 文档带有 DLMScriptsAccess:true 标签。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSSMReadOnlyAccess", "Effect": "Allow", "Action": [ "ssm:GetCommandInvocation", "ssm:ListCommands", "ssm:DescribeInstanceInformation" ], "Resource": "*" }, { "Sid": "AllowTaggedSSMDocumentsOnly", "Effect": "Allow", "Action": [ "ssm:SendCommand", "ssm:DescribeDocument", "ssm:GetDocument" ], "Resource": [ "arn:aws:ssm:*:*:document/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/DLMScriptsAccess": "true" } } }, { "Sid": "AllowSpecificAWSOwnedSSMDocuments", "Effect": "Allow", "Action": [ "ssm:SendCommand", "ssm:DescribeDocument", "ssm:GetDocument" ], "Resource": [ "arn:aws:ssm:*:*:document/AWSEC2-CreateVssSnapshot", "arn:aws:ssm:*:*:document/AWSSystemsManagerSAP-CreateDLMSnapshotForSAPHANA" ] }, { "Sid": "AllowAllEC2Instances", "Effect": "Allow", "Action": [ "ssm:SendCommand" ], "Resource": [ "arn:aws:ec2:*:*:instance/*" ] } ] }

AWS 托管策略更新

AWS 服务维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管策略添加其他权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当推出新功能或有新操作可用时,服务最有可能更新 AWS 托管策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。

下表详细介绍了 Amazon Data Lifecycle Manager AWS 托管策略自该服务开始跟踪这些更改以来该服务所做的更新。要获得有关此页面更改的自动提示,请订阅 《Amazon EBS 用户指南》的文档历史记录 上的 RSS 源。

更改 描述 日期
AWSDataLifecycleManagerSSMFullAccess— 更新了策略权限。 使用 AWSSystemsManagerSAP-CreateDLMSnapshotForSAPHANA SSM 文档更新了政策,以支持 SAP HANA 的应用程序一致性快照。 2023 年 11 月 17 日
AWSDataLifecycleManagerSSMFullAccess— 添加了新的 AWS 托管策略。 Amazon Data Lifecycle Manager 添加了 AWSDataLifecycleManagerSSMFullAccess AWS 托管策略。 2023 年 11 月 7 日
AWSDataLifecycleManagerServiceRole— 增加了支持快照存档的权限。 Amazon Data Lifecycle Manager 添加了 ec2:ModifySnapshotTierec2:DescribeSnapshotTierStatus 操作,以授予快照策略存档快照和检查快照存档状态的权限。 2022 年 9 月 30 日
AWSDataLifecycleManagerServiceRoleForAMIManagement— 增加了支持 AMI 弃用的权限。 Amazon Data Lifecycle Manager 添加了 ec2:EnableImageDeprecationec2:DisableImageDeprecation 操作以授予 EBS 支持的 AMI 策略权限,从而启用和禁用 AMI 弃用。 2021 年 8 月 23 日
Amazon Data Lifecycle Manager 已开启跟踪更改 Amazon Data Lifecycle Manager 开始跟踪其 AWS 托管策略的变更。 2021 年 8 月 23 日