View a markdown version of this page

IAM-Servicerollen für Amazon Data Lifecycle Manager - Amazon EBS
Standard-Servicerollen für Amazon Data Lifecycle ManagerBenutzerdefinierte Service-Rollen für Amazon Data Lifecycle Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM-Servicerollen für Amazon Data Lifecycle Manager

Eine AWS Identity and Access Management (IAM-) Rolle ähnelt einem Benutzer insofern, als es sich um eine AWS Identität mit Berechtigungsrichtlinien handelt, die festlegen, was die Identität tun kann und was nicht. AWS Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen. Eine Servicerolle ist eine Rolle, die ein AWS Dienst übernimmt, um Aktionen in Ihrem Namen auszuführen. Als Service, der für Sie Backup-Operationen durchführt, erfordert der Amazon Data Lifecycle Manager die Übergabe einer Rolle, die es annehmen soll, wenn es für Sie Rechtslinien-Geschäfte durchführt. Weitere Informationen zu IAM-Rollen finden Sie unter IAM-Rollen im IAM-Benutzerhandbuch.

Die Rolle, die Sie an Amazon Data Lifecycle Manager übergeben, muss über eine IAM-Richtlinie mit den Berechtigungen verfügen, mit denen Amazon Data Lifecycle Manager Aktionen ausführen kann, die mit Richtlinienvorgängen verknüpft sind, z. B. das Erstellen von Snapshots und AMIs, das Kopieren von Snapshots und AMIs, das Löschen von Snapshots und das Abmelden von AMIs. Für jeden der Amazon Data Lifecycle Manager-Richtlinientypen sind unterschiedliche Berechtigungen erforderlich. Die Rolle muss außerdem Amazon Data Lifecycle Manager als vertrauenswürdige Entität aufgelistet haben. Dadurch kann Amazon Data Lifecycle Manager die Rolle übernehmen.

Standard-Servicerollen für Amazon Data Lifecycle Manager

Amazon Data Lifecycle Manager verwendet die folgenden Standard-Service-Rollen:

  • AWSDataLifecycleManagerDefaultRole— Standardrolle für die Verwaltung von Snapshots. Es vertraut nur dem dlm.amazonaws.com.rproxy.govskope.ca-Dienst, um die Rolle zu übernehmen, und Amazon Data Lifecycle Manager kann die Aktionen ausführen, die für Snapshot- und kontoübergreifende Snapshot-Kopierrichtlinien in Ihrem Namen erforderlich sind. Diese Rolle verwendet die AWSDataLifecycleManagerServiceRole AWS verwaltete Richtlinie.

    Anmerkung

    Das ARN-Format der Rolle unterscheidet sich je nachdem, ob sie mit der Konsole oder der AWS CLI erstellt wurde. Wenn die Rolle mit der Konsole erstellt wurde, lautet das ARN-Format arn:aws:iam::account_id:role/service-role/AWSDataLifecycleManagerDefaultRole. Wenn die Rolle mit dem erstellt wurde AWS CLI, ist das ARN-Formatarn:aws:iam::account_id:role/AWSDataLifecycleManagerDefaultRole.

  • AWSDataLifecycleManagerDefaultRoleForAMIManagement— Standardrolle für die Verwaltung von AMIs. Es vertraut darauf, dass nur der dlm.amazonaws.com Service die Rolle übernimmt, und ermöglicht Amazon Data Lifecycle Manager, die gemäß den EBS-backed AMI-Richtlinien erforderlichen Aktionen in Ihrem Namen durchzuführen. Diese Rolle verwendet die AWSDataLifecycleManagerServiceRoleForAMIManagement AWS verwaltete Richtlinie.

Wenn Sie die Amazon Data Lifecycle Manager-Konsole verwenden, erstellt Amazon Data Lifecycle Manager automatisch die AWSDataLifecycleManagerDefaultRoleService-Rolle, wenn Sie zum ersten Mal eine Snapshot- oder kontoübergreifende Snapshot-Kopierrichtlinie erstellen, und erstellt die AWSDataLifecycleManagerDefaultRoleForAMIManagementService-Rolle automatisch, wenn Sie zum ersten Mal eine EBS-backed AMI-Richtlinie erstellen.

Wenn Sie die Konsole nicht verwenden, können Sie die Dienstrollen mit dem Befehl create-default-role manuell erstellen. Geben Sie für snapshot an--resource-type, ob Sie erstellen AWSDataLifecycleManagerDefaultRole oder erstellen image AWSDataLifecycleManagerDefaultRoleForAMIManagement möchten.

$ aws dlm create-default-role --resource-type snapshot|image

Wenn Sie diese standardmäßigen Servicerollen löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die sie in Ihrem Konto neu anzulegen.

Benutzerdefinierte Service-Rollen für Amazon Data Lifecycle Manager

Alternativ zur Verwendung der Standarddienstrollen können Sie benutzerdefinierte IAM-Rollen mit den erforderlichen Berechtigungen erstellen und sie dann beim Erstellen einer Lebenszyklus-Richtlinie auswählen.

Erstellen einer benutzerdefinierten IAM-Rolle

  1. Erstellen Sie Rollen mit den folgenden Berechtigungen.

    • Notwendige Berechtigungen zum Verwalten von Snapshot-Lebenszyklusrichtlinien

      JSON
      {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateSnapshot",
                "ec2:CreateSnapshots",
                "ec2:DeleteSnapshot",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ec2:DescribeSnapshots",
                "ec2:EnableFastSnapshotRestores",
                "ec2:DescribeFastSnapshotRestores",
                "ec2:DisableFastSnapshotRestores",
                "ec2:CopySnapshot",
                "ec2:ModifySnapshotAttribute",
                "ec2:DescribeSnapshotAttribute",
                "ec2:ModifySnapshotTier",
                "ec2:DescribeSnapshotTierStatus",
                "ec2:DescribeAvailabilityZones"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "events:PutRule",
                "events:DeleteRule",
                "events:DescribeRule",
                "events:EnableRule",
                "events:DisableRule",
                "events:ListTargetsByRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
            "Resource": "arn:aws:events:*:*:rule/AwsDataLifecycleRule.managed-cwe.*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetCommandInvocation",
                "ssm:ListCommands",
                "ssm:DescribeInstanceInformation"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand",
                "ssm:DescribeDocument",
                "ssm:GetDocument"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:document/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/DLMScriptsAccess": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand",
                "ssm:DescribeDocument",
                "ssm:GetDocument"
            ],
            "Resource": [
                "arn:aws:ssm:*::document/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*"
            ],
            "Condition": {
                "StringNotLike": {
                    "aws:ResourceTag/DLMScriptsAccess": "false"
                }
            }
        }
    ]
}

    • Notwendige Berechtigungen zum Verwalten von AMI-Lebenszyklusrichtlinien

      JSON
      {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": [
                "arn:aws:ec2:*::snapshot/*",
                "arn:aws:ec2:*::image/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages",
                "ec2:DescribeInstances",
                "ec2:DescribeImageAttribute",
                "ec2:DescribeVolumes",
                "ec2:DescribeSnapshots"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteSnapshot",
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ResetImageAttribute",
                "ec2:DeregisterImage",
                "ec2:CreateImage",
                "ec2:CopyImage",
                "ec2:ModifyImageAttribute"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:EnableImageDeprecation",
                "ec2:DisableImageDeprecation"
            ],
            "Resource": "arn:aws:ec2:*::image/*"
        }
    ]
}

    Weitere Informationen finden Sie unter Erstellen einer Rolle im IAM-Benutzerhandbuch.

  2. Fügen Sie eine Vertrauensstellung für die Rollen hinzu.

    1. Wählen Sie in der IAM-Konsole Roles (Rollen) aus.

    2. Wählen Sie die erstellte Rolle aus und wählen Sie Trust relationships (Vertrauensstellungen).

    3. Wählen Sie Edit Trust Relationship (Vertrauensstellung bearbeiten), fügen Sie die folgende Richtlinie hinzu und wählen Sie Update Trust Policy (Vertrauensstellung aktualisieren).

      JSON
      {
	"Version":"2012-10-17",
	"Statement": [{
		"Effect": "Allow",
		"Principal": {
			"Service": "dlm.amazonaws.com"
		},
		"Action": "sts:AssumeRole"
	}]
}

      Wir empfehlen Ihnen, die aws:SourceAccount- und aws:SourceArn-Bedingungsschlüssel zu verwenden, um sich vor dem Problem des verwirrten Stellvertreters zu schützen. Beispielsweise können Sie der vorherigen Vertrauensrichtlinie den folgenden Bedingungsblock hinzufügen. Das aws:SourceAccount ist der Besitzer der Lebenszyklusrichtlinie und das aws:SourceArn ist der ARN der Lebenszyklusrichtlinie. Wenn Sie die Lebenszyklusrichtlinie IF nicht kennen, können Sie diesen Teil des ARN durch einen Platzhalter (*) ersetzen und dann die Vertrauensrichtlinie aktualisieren, nachdem Sie die Lebenszyklusrichtlinie erstellt haben.

      "Condition": {
    "StringEquals": {
        "aws:SourceAccount": "account_id"
    },
    "ArnLike": {
        "aws:SourceArn": "arn:partition:dlm:region:account_id:policy/policy_id"
    }
}