View a markdown version of this page

Control de acceso a Amazon Data Lifecycle Manager con IAM - Amazon EBS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Control de acceso a Amazon Data Lifecycle Manager con IAM

Se requieren credenciales para acceder a Amazon Data Lifecycle Manager. Estas credenciales deben tener permisos para acceder a recursos de AWS como instancias, volúmenes, instantáneas y AMI.

Se requieren los siguientes permisos de IAM para utilizar Amazon Data Lifecycle Manager.

nota

  • Los permisos ec2:DescribeAvailabilityZones, ec2:DescribeRegions, kms:ListAliases y kms:DescribeKey solo son necesarios para los usuarios de la consola. Si no es necesario el acceso a la consola, puede eliminar los permisos.

  • El formato ARN del AWSDataLifecycleManagerDefaultRolerol varía en función de si se creó con la consola o con. AWS CLI Si el rol se crea mediante la consola, el formato de ARN es arn:aws:iam::account_id:role/service-role/AWSDataLifecycleManagerDefaultRole. Si el rol se creó con AWS CLI, el formato ARN es. arn:aws:iam::account_id:role/AWSDataLifecycleManagerDefaultRole

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "dlm:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::111122223333:role/AWSDataLifecycleManagerDefaultRole",
                "arn:aws:iam::111122223333:role/AWSDataLifecycleManagerDefaultRoleForAMIManagement",
                "arn:aws:iam::111122223333:role/service-role/AWSDataLifecycleManagerDefaultRole",
                "arn:aws:iam::111122223333:role/service-role/AWSDataLifecycleManagerDefaultRoleForAMIManagement"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeRegions",
                "kms:ListAliases",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}
Permisos para cifrado

Tenga en cuenta lo siguiente cuando trabaje con Amazon Data Lifecycle Manager y recursos cifrados.

  • Si el volumen de origen está cifrado, asegúrese de que los roles predeterminados de Amazon Data Lifecycle Manager (AWSDataLifecycleManagerDefaultRoley AWSDataLifecycleManagerDefaultRoleForAMIManagement) tengan permiso para usar las claves de KMS utilizadas para cifrar el volumen.

  • Si habilita Cross Region copy (Copia entre regiones) para instantáneas no cifradas o AMI basadas en instantáneas no cifradas y elige habilitar el cifrado en la región de destino, asegúrese de que los roles predeterminados tengan permiso para usar la Clave de KMS necesaria a fin de realizar el cifrado en la región de destino.

  • Si habilita Cross Region copy (copia entre regiones) para instantáneas cifradas o AMI basadas en instantáneas cifradas, asegúrese de que los roles predeterminados tengan permiso a fin de usar tanto la Claves de KMS de origen como de destino.

  • Si habilita el archivado de instantáneas para las instantáneas cifradas, asegúrese de que el rol predeterminado de Amazon Data Lifecycle Manager (AWSDataLifecycleManagerDefaultRoletiene permiso) para usar la clave de KMS utilizada para cifrar la instantánea.

Para obtener más información, consulte Cómo permitir a los usuarios de otras cuentas utilizar una clave de KMS en la Guía para desarrolladores de AWS Key Management Service .

Para obtener más información, consulte Cambio de los permisos de un usuario de IAM en la Guía del usuario de IAM.