Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Steuern Sie den Zugriff auf Amazon Data Lifecycle Manager mithilfe von IAM
Für den Zugriff auf Amazon Data Lifecycle Manager sind Anmeldeinformationen erforderlich. Diese Anmeldeinformationen müssen über Berechtigungen für den Zugriff auf AWS Ressourcen wie Instances, Volumes, Snapshots und verfügen. AMIs
Die folgenden IAM-Berechtigungen sind für die Verwendung von Amazon Data Lifecycle Manager erforderlich.
**Anmerkung**
Die Berechtigungen `ec2:DescribeAvailabilityZones`, `ec2:DescribeRegions`, `kms:ListAliases` und `kms:DescribeKey` sind nur für Konsolenbenutzer erforderlich. Wenn kein Konsolenzugriff erforderlich ist, können Sie die Berechtigungen entfernen.
Das ARN-Format der *AWSDataLifecycleManagerDefaultRole*Rolle unterscheidet sich je nachdem, ob sie mit der Konsole oder der erstellt wurde AWS CLI. Wenn die Rolle mit der Konsole erstellt wurde, lautet das ARN-Format `arn:aws:iam::account_id:role/service-role/AWSDataLifecycleManagerDefaultRole`. Wenn die Rolle mit dem erstellt wurde AWS CLI, ist das ARN-Format`arn:aws:iam::account_id:role/AWSDataLifecycleManagerDefaultRole`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "dlm:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::111122223333:role/AWSDataLifecycleManagerDefaultRole",
"arn:aws:iam::111122223333:role/AWSDataLifecycleManagerDefaultRoleForAMIManagement",
"arn:aws:iam::111122223333:role/service-role/AWSDataLifecycleManagerDefaultRole",
"arn:aws:iam::111122223333:role/service-role/AWSDataLifecycleManagerDefaultRoleForAMIManagement"
]
},
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeAvailabilityZones",
"ec2:DescribeRegions",
"kms:ListAliases",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
------
**Berechtigungen für die Verschlüsselung**
Berücksichtigen Sie Folgendes, wenn Sie mit Amazon Data Lifecycle Manager und verschlüsselten Ressourcen arbeiten.
+ Wenn das Quell-Volume verschlüsselt ist, stellen Sie sicher, dass die Standardrollen (**AWSDataLifecycleManagerDefaultRole**und **AWSDataLifecycleManagerDefaultRoleForAMIManagement**) von Amazon Data Lifecycle Manager berechtigt sind, die KMS-Schlüssel zu verwenden, die zur Verschlüsselung des Volumes verwendet werden.
+ Wenn Sie **regionsübergreifendes Kopieren** für unverschlüsselte oder durch unverschlüsselte Snapshots AMIs gesicherte Snapshots aktivieren und sich dafür entscheiden, die Verschlüsselung in der Zielregion zu aktivieren, stellen Sie sicher, dass die Standardrollen berechtigt sind, den KMS-Schlüssel zu verwenden, der für die Verschlüsselung in der Zielregion erforderlich ist.
+ Wenn Sie **regionsübergreifendes Kopieren** für verschlüsselte oder durch verschlüsselte Snapshots AMIs gesicherte Snapshots aktivieren, stellen Sie sicher, dass die Standardrollen berechtigt sind, sowohl den Quell- als auch den Ziel-KMS-Schlüssel zu verwenden.
+ Wenn Sie die Snapshot-Archivierung für verschlüsselte Snapshots aktivieren, stellen Sie sicher, dass die Amazon Data Lifecycle Manager Manager-Standardrolle () berechtigt **AWSDataLifecycleManagerDefaultRole**ist, den KMS-Schlüssel zu verwenden, der zur Verschlüsselung des Snapshots verwendet wird.
Weitere Informationen finden Sie unter [Benutzern in anderen Konten die Verwendung eines KMS-Schlüssels erlauben](https://docs.aws.amazon.com//kms/latest/developerguide/key-policy-modifying-external-accounts.html) im *AWS Key Management Service -Entwicklerhandbuch*.
Weitere Informationen finden Sie unter [Ändern von Berechtigungen für einen Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) im *IAM-Benutzerhandbuch*.
# AWS verwaltete Richtlinien für Amazon Data Lifecycle Manager
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet AWS wird. AWS Verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen. AWS Mit verwalteten Richtlinien können Sie Benutzern, Gruppen und Rollen die entsprechenden Berechtigungen effizienter zuweisen, als wenn Sie die Richtlinien selbst schreiben müssten.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen jedoch nicht ändern. AWS aktualisiert gelegentlich die in einer AWS verwalteten Richtlinie definierten Berechtigungen. Diese Aktualisierung wirkt sich auf alle Prinzipal-Entitäten (Benutzer, Gruppen und Rollen) aus, an die die Richtlinie angefügt ist.
Amazon Data Lifecycle Manager bietet AWS verwaltete Richtlinien für allgemeine Anwendungsfälle. Diese Richtlinien erleichtern die Definition der geeigneten Berechtigungen und die Steuerung des Zugriffs auf Ihre Ressourcen. Die von Amazon Data Lifecycle Manager bereitgestellten AWS verwalteten Richtlinien sind so konzipiert, dass sie Rollen zugeordnet werden können, die Sie an Amazon Data Lifecycle Manager übergeben.
**Topics**
+ [AWSDataLifecycleManagerServiceRole](#AWSDataLifecycleManagerServiceRole)
+ [AWSDataLifecycleManagerServiceRoleForAMIManagement](#AWSDataLifecycleManagerServiceRoleForAMIManagement)
+ [AWSDataLifecycleManagerSSMFullZugriff](#AWSDataLifecycleManagerSSMFullAccess)
+ [AWS verwaltete Richtlinienaktualisierungen](#policy-update)
## AWSDataLifecycleManagerServiceRole
Die **AWSDataLifecycleManagerServiceRole**Richtlinie gewährt Amazon Data Lifecycle Manager die entsprechenden Berechtigungen zur Erstellung und Verwaltung von Amazon EBS-Snapshot-Richtlinien und Richtlinien für kontoübergreifendes Kopieren von Ereignissen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateSnapshot",
"ec2:CreateSnapshots",
"ec2:DeleteSnapshot",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ec2:DescribeSnapshots",
"ec2:EnableFastSnapshotRestores",
"ec2:DescribeFastSnapshotRestores",
"ec2:DisableFastSnapshotRestores",
"ec2:CopySnapshot",
"ec2:ModifySnapshotAttribute",
"ec2:DescribeSnapshotAttribute",
"ec2:ModifySnapshotTier",
"ec2:DescribeSnapshotTierStatus",
"ec2:DescribeAvailabilityZones"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:DeleteRule",
"events:DescribeRule",
"events:EnableRule",
"events:DisableRule",
"events:ListTargetsByRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": "arn:aws:events:*:*:rule/AwsDataLifecycleRule.managed-cwe.*"
}
]
}
```
------
## AWSDataLifecycleManagerServiceRoleForAMIManagement
Die **AWSDataLifecycleManagerServiceRoleForAMIManagement**Richtlinie gewährt Amazon Data Lifecycle Manager die entsprechenden Berechtigungen zur Erstellung und Verwaltung von Amazon EBS-backed AMI AMI-Richtlinien.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": [
"arn:aws:ec2:*::snapshot/*",
"arn:aws:ec2:*::image/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeImageAttribute",
"ec2:DescribeVolumes",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DeleteSnapshot",
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Effect": "Allow",
"Action": [
"ec2:ResetImageAttribute",
"ec2:DeregisterImage",
"ec2:CreateImage",
"ec2:CopyImage",
"ec2:ModifyImageAttribute"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:EnableImageDeprecation",
"ec2:DisableImageDeprecation"
],
"Resource": "arn:aws:ec2:*::image/*"
}
]
}
```
------
## AWSDataLifecycleManagerSSMFullZugriff
Berechtigt Amazon Data Lifecycle Manager dazu, die Systems-Manager-Aktionen auszuführen, die für die Ausführung von Vor- und Nach-Skripten auf allen Amazon-EC2-Instances erforderlich sind.
**Wichtig**
Die Richtlinie verwendet den Bedingungsschlüssel `aws:ResourceTag`, um den Zugriff auf bestimmte SSM-Dokumente einzuschränken, wenn Vor- und Nach-Skripte verwendet werden. Damit Amazon Data Lifecycle Manager auf die SSM-Dokumente zugreifen kann, müssen Sie sicherstellen, dass Ihre SSM-Dokumente das Tag `DLMScriptsAccess:true` enthalten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSSMReadOnlyAccess",
"Effect": "Allow",
"Action": [
"ssm:GetCommandInvocation",
"ssm:ListCommands",
"ssm:DescribeInstanceInformation"
],
"Resource": "*"
},
{
"Sid": "AllowTaggedSSMDocumentsOnly",
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:DescribeDocument",
"ssm:GetDocument"
],
"Resource": [
"arn:aws:ssm:*:*:document/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/DLMScriptsAccess": "true"
}
}
},
{
"Sid": "AllowSpecificAWSOwnedSSMDocuments",
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:DescribeDocument",
"ssm:GetDocument"
],
"Resource": [
"arn:aws:ssm:*:*:document/AWSEC2-CreateVssSnapshot",
"arn:aws:ssm:*:*:document/AWSSystemsManagerSAP-CreateDLMSnapshotForSAPHANA"
]
},
{
"Sid": "AllowAllEC2Instances",
"Effect": "Allow",
"Action": [
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
]
}
]
}
```
------
## AWS verwaltete Richtlinienaktualisierungen
AWS Dienste verwalten und aktualisieren AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Dienste fügen einer AWS verwalteten Richtlinie gelegentlich zusätzliche Berechtigungen hinzu, um neue Funktionen zu unterstützen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Es ist sehr wahrscheinlich, dass Dienste eine AWS verwaltete Richtlinie aktualisieren, wenn eine neue Funktion eingeführt wird oder wenn neue Operationen verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.
Die folgende Tabelle enthält Einzelheiten zu den Aktualisierungen der AWS verwalteten Richtlinien für Amazon Data Lifecycle Manager, seit dieser Service begonnen hat, diese Änderungen zu verfolgen. Um automatische Warnungen über Änderungen an dieser Seite erhalten, abonnieren Sie den RSS-Feed auf [Dokumentenverlauf für das Amazon EBS-Benutzerhandbuch](doc-history.md).
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| AWSDataLifecycleManagerServiceRole— Die Richtlinienberechtigungen wurden aktualisiert. | Amazon Data Lifecycle Manager hat die ec2:DescribeAvailabilityZones Aktion hinzugefügt, um Snapshot-Richtlinien die Erlaubnis zu erteilen, Informationen über Local Zones abzurufen. | 16. Dezember 2024 |
| AWSDataLifecycleManagerSSMFullZugriff — Die Richtlinienberechtigungen wurden aktualisiert. | Die Richtlinie wurde aktualisiert, um anwendungskonsistente Snapshots für SAP HANA unter Verwendung des SSM-Dokuments AWSSystemsManagerSAP-CreateDLMSnapshotForSAPHANA zu unterstützen. | 17. November 2023 |
| AWSDataLifecycleManagerSSMFullZugriff — Eine neue AWS verwaltete Richtlinie wurde hinzugefügt. | Amazon Data Lifecycle Manager hat die AWSData LifecycleManager SSMFull Access AWS Managed Policy hinzugefügt. | 7. November 2023 |
| AWSDataLifecycleManagerServiceRole— Es wurden Berechtigungen zur Unterstützung der Snapshot-Archivierung hinzugefügt. | In Amazon Data Lifecycle Manager wurden die Aktionen ec2:ModifySnapshotTier und ec2:DescribeSnapshotTierStatus der Berechtigung zum Erteilen von Snapshot-Richtlinien hinzugefügt, um Snapshots zu archivieren und den Archivierungsstatus für Snapshots zu überprüfen. | 30. September 2022 |
| AWSDataLifecycleManagerServiceRoleForAMIManagement— Berechtigungen zur Unterstützung veralteter AMIs wurden hinzugefügt. | Amazon Data Lifecycle Manager hat die ec2:EnableImageDeprecation- und ec2:DisableImageDeprecation-Aktionen hinzugefügt, um EBS-unterstützte AMI-Richtlinien die Berechtigung zum Aktivieren und Deaktivieren der AMI-Veraltung zu erteilen. | 23. August 2021 |
| Amazon Data Lifecycle Manager hat mit der Verfolgung von Änderungen begonnen | Amazon Data Lifecycle Manager hat damit begonnen, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. | 23. August 2021 |
# IAM-Servicerollen für Amazon Data Lifecycle Manager
Eine AWS Identity and Access Management (IAM-) Rolle ähnelt einem Benutzer insofern, als es sich um eine AWS Identität mit Berechtigungsrichtlinien handelt, die festlegen, was die Identität tun kann und was nicht. AWS Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen. Eine Servicerolle ist eine Rolle, die ein AWS Dienst übernimmt, um Aktionen in Ihrem Namen auszuführen. Als Service, der für Sie Backup-Operationen durchführt, erfordert der Amazon Data Lifecycle Manager die Übergabe einer Rolle, die es annehmen soll, wenn es für Sie Rechtslinien-Geschäfte durchführt. Weitere Informationen zu IAM-Rollen finden Sie unter [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) im *IAM-Benutzerhandbuch*.
Die Rolle, die Sie an Amazon Data Lifecycle Manager übergeben, muss über eine IAM-Richtlinie mit den Berechtigungen verfügen, die es Amazon Data Lifecycle Manager ermöglichen, Aktionen im Zusammenhang mit Richtlinienoperationen durchzuführen, wie z. B. das Erstellen von Snapshots und das Kopieren von Snapshots und AMIs das Löschen von Snapshots sowie AMIs das Abmelden. AMIs Für jeden der Amazon Data Lifecycle Manager-Richtlinientypen sind unterschiedliche Berechtigungen erforderlich. Die Rolle muss außerdem Amazon Data Lifecycle Manager als vertrauenswürdige Entität aufgelistet haben. Dadurch kann Amazon Data Lifecycle Manager die Rolle übernehmen.
**Topics**
+ [Standard-Servicerollen für Amazon Data Lifecycle Manager](#default-service-roles)
+ [Benutzerdefinierte Service-Rollen für Amazon Data Lifecycle Manager](#custom-role)
## Standard-Servicerollen für Amazon Data Lifecycle Manager
Amazon Data Lifecycle Manager verwendet die folgenden Standard-Service-Rollen:
+ **AWSDataLifecycleManagerDefaultRole**— Standardrolle für die Verwaltung von Snapshots. Es vertraut nur dem `dlm.amazonaws.com`-Dienst, um die Rolle zu übernehmen, und Amazon Data Lifecycle Manager kann die Aktionen ausführen, die für Snapshot- und kontoübergreifende Snapshot-Kopierrichtlinien in Ihrem Namen erforderlich sind. Diese Rolle verwendet die ` AWSDataLifecycleManagerServiceRole` AWS verwaltete Richtlinie.
**Anmerkung**
Das ARN-Format der Rolle unterscheidet sich je nachdem, ob sie mit der Konsole oder der AWS CLI erstellt wurde. Wenn die Rolle mit der Konsole erstellt wurde, lautet das ARN-Format `arn:aws:iam::account_id:role/service-role/AWSDataLifecycleManagerDefaultRole`. Wenn die Rolle mit dem erstellt wurde AWS CLI, ist das ARN-Format`arn:aws:iam::account_id:role/AWSDataLifecycleManagerDefaultRole`.
+ **AWSDataLifecycleManagerDefaultRoleForAMIManagement**— Standardrolle für die Verwaltung AMIs. Es vertraut nur dem `dlm.amazonaws.com`-Dienst, um die Rolle zu übernehmen, und Amazon Data Lifecycle Manager ermöglicht es Ihnen, die Aktionen auszuführen, die von EBS-unterstützten AMI-Richtlinien in Ihrem Namen erforderlich sind. Diese Rolle verwendet die `AWSDataLifecycleManagerServiceRoleForAMIManagement` AWS verwaltete Richtlinie.
Wenn Sie die Amazon Data Lifecycle Manager-Konsole verwenden, erstellt Amazon Data Lifecycle Manager die **AWSDataLifecycleManagerDefaultRole**Servicerolle automatisch, wenn Sie zum ersten Mal eine Snapshot- oder kontoübergreifende Snapshot-Kopierrichtlinie erstellen, und erstellt die **AWSDataLifecycleManagerDefaultRoleForAMIManagement**Servicerolle automatisch, wenn Sie zum ersten Mal eine EBS-gestützte AMI-Richtlinie erstellen.
Wenn Sie die Konsole nicht verwenden, können Sie die Servicerollen mithilfe des Befehls manuell erstellen. [create-default-role](https://docs.aws.amazon.com/cli/latest/reference/dlm/create-default-role.html) Geben Sie für `--resource-type` `snapshot` an AWSDataLifecycleManagerDefaultRole, ob Sie erstellen oder erstellen `image` möchten AWSData LifecycleManagerDefaultRoleForAMIManagement.
```
$ aws dlm create-default-role --resource-type snapshot|image
```
Wenn Sie diese standardmäßigen Servicerollen löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die sie in Ihrem Konto neu anzulegen.
## Benutzerdefinierte Service-Rollen für Amazon Data Lifecycle Manager
Alternativ zur Verwendung der Standarddienstrollen können Sie benutzerdefinierte IAM-Rollen mit den erforderlichen Berechtigungen erstellen und sie dann beim Erstellen einer Lebenszyklus-Richtlinie auswählen.
**Erstellen einer benutzerdefinierten IAM-Rolle**
1. Erstellen Sie Rollen mit den folgenden Berechtigungen.
+ Notwendige Berechtigungen zum Verwalten von Snapshot-Lebenszyklusrichtlinien
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateSnapshot",
"ec2:CreateSnapshots",
"ec2:DeleteSnapshot",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ec2:DescribeSnapshots",
"ec2:EnableFastSnapshotRestores",
"ec2:DescribeFastSnapshotRestores",
"ec2:DisableFastSnapshotRestores",
"ec2:CopySnapshot",
"ec2:ModifySnapshotAttribute",
"ec2:DescribeSnapshotAttribute",
"ec2:ModifySnapshotTier",
"ec2:DescribeSnapshotTierStatus",
"ec2:DescribeAvailabilityZones"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:DeleteRule",
"events:DescribeRule",
"events:EnableRule",
"events:DisableRule",
"events:ListTargetsByRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": "arn:aws:events:*:*:rule/AwsDataLifecycleRule.managed-cwe.*"
},
{
"Effect": "Allow",
"Action": [
"ssm:GetCommandInvocation",
"ssm:ListCommands",
"ssm:DescribeInstanceInformation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:DescribeDocument",
"ssm:GetDocument"
],
"Resource": [
"arn:aws:ssm:*:*:document/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/DLMScriptsAccess": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:DescribeDocument",
"ssm:GetDocument"
],
"Resource": [
"arn:aws:ssm:*::document/*"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"StringNotLike": {
"aws:ResourceTag/DLMScriptsAccess": "false"
}
}
}
]
}
```
------
+ Notwendige Berechtigungen zum Verwalten von AMI-Lebenszyklusrichtlinien
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": [
"arn:aws:ec2:*::snapshot/*",
"arn:aws:ec2:*::image/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeImageAttribute",
"ec2:DescribeVolumes",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DeleteSnapshot",
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Effect": "Allow",
"Action": [
"ec2:ResetImageAttribute",
"ec2:DeregisterImage",
"ec2:CreateImage",
"ec2:CopyImage",
"ec2:ModifyImageAttribute"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:EnableImageDeprecation",
"ec2:DisableImageDeprecation"
],
"Resource": "arn:aws:ec2:*::image/*"
}
]
}
```
------
Weitere Informationen finden Sie unter [Erstellen einer Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) im *IAM-Benutzerhandbuch*.
1. Fügen Sie eine Vertrauensstellung für die Rollen hinzu.
1. Wählen Sie in der IAM-Konsole **Roles (Rollen)** aus.
1. Wählen Sie die erstellte Rolle aus und wählen Sie **Trust relationships (Vertrauensstellungen)**.
1. Wählen Sie **Edit Trust Relationship (Vertrauensstellung bearbeiten)**, fügen Sie die folgende Richtlinie hinzu und wählen Sie **Update Trust Policy (Vertrauensstellung aktualisieren)**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"Service": "dlm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}]
}
```
------
Wir empfehlen Ihnen, die `aws:SourceAccount`- und `aws:SourceArn`-Bedingungsschlüssel zu verwenden, um sich vor dem [Problem des verwirrten Stellvertreters](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) zu schützen. Beispielsweise können Sie der vorherigen Vertrauensrichtlinie den folgenden Bedingungsblock hinzufügen. Das `aws:SourceAccount` ist der Besitzer der Lebenszyklusrichtlinie und das `aws:SourceArn` ist der ARN der Lebenszyklusrichtlinie. Wenn Sie die Lebenszyklusrichtlinie IF nicht kennen, können Sie diesen Teil des ARN durch einen Platzhalter (`*`) ersetzen und dann die Vertrauensrichtlinie aktualisieren, nachdem Sie die Lebenszyklusrichtlinie erstellt haben.
```
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account_id"
},
"ArnLike": {
"aws:SourceArn": "arn:partition:dlm:region:account_id:policy/policy_id"
}
}
```