Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Peran layanan IAM untuk Amazon Data Lifecycle Manager
Peran AWS Identity and Access Management (IAM) mirip dengan pengguna, karena itu adalah AWS identitas dengan kebijakan izin yang menentukan apa yang dapat dan tidak dapat dilakukan identitas. AWS Namun, alih-alih secara unik terkait dengan satu orang, peran dimaksudkan untuk menjadi dapat diambil oleh siapa pun yang membutuhkannya. Peran layanan adalah peran yang diasumsikan AWS layanan untuk melakukan tindakan atas nama Anda. Sebagai layanan yang melakukan operasi pencadangan atas nama Anda, Amazon Data Lifecycle Manager mengharuskan Anda meneruskan peran yang harus diambil saat melakukan operasi kebijakan atas nama Anda. Untuk informasi selengkapnya tentang peran IAM, lihat Peran IAM dalam Panduan Pengguna IAM.
Peran yang diteruskan ke Amazon Data Lifecycle Manager harus memiliki kebijakan IAM dengan izin yang memungkinkan Amazon Data Lifecycle Manager untuk melakukan tindakan yang terkait dengan operasi kebijakan, seperti membuat snapshot dan, menyalin snapshot dan, menghapus snapshot, dan AMIs membatalkan pendaftaran. AMIs AMIs Izin yang berbeda diperlukan untuk setiap jenis kebijakan Amazon Data Lifecycle Manager. Peran ini juga harus memiliki Amazon Data Lifecycle Manager terdaftar sebagai entitas tepercaya, yang memungkinkan Amazon Data Lifecycle Manager untuk mengambil peran.
Topik
Peran layanan default untuk Amazon Data Lifecycle Manager
Amazon Data Lifecycle Manager menggunakan peran layanan default berikut:
-
AWSDataLifecycleManagerDefaultRole—peran default untuk mengelola snapshot. Peran ini hanya memercayai layanan
dlm.amazonaws.com
untuk mengambil peran dan memungkinkan Amazon Data Lifecycle Manager untuk melakukan tindakan yang diperlukan oleh kebijakan penyalinan snapshot lintas akun dan snapshot atas nama Anda. Peran ini menggunakan kebijakanAWSDataLifecycleManagerServiceRole
AWS terkelola.catatan
Format ARN peran berbeda tergantung pada apakah itu dibuat menggunakan konsol atau. AWS CLI Jika peran dibuat menggunakan konsol, format ARN adalah
arn:aws:iam::
. Jika peran dibuat menggunakan AWS CLI, format ARN adalah.account_id
:role/service-role/AWSDataLifecycleManagerDefaultRolearn:aws:iam::
account_id
:role/AWSDataLifecycleManagerDefaultRole -
AWSDataLifecycleManagerDefaultRoleForAMIManagement—peran default untuk mengelola AMIs. Layanan hanya mempercayai layanan
dlm.amazonaws.com
untuk mengambil peran tersebut dan memungkinkan Amazon Data Lifecycle Manager untuk melakukan tindakan yang diperlukan oleh kebijakan AMI yang didukung EBS atas nama Anda. Peran ini menggunakan kebijakanAWSDataLifecycleManagerServiceRoleForAMIManagement
AWS terkelola.
Jika Anda menggunakan konsol Amazon Data Lifecycle Manager, Amazon Data Lifecycle Manager secara otomatis AWSDataLifecycleManagerDefaultRolemembuat peran layanan saat pertama kali Anda membuat kebijakan penyalinan snapshot atau snapshot lintas akun, dan secara otomatis membuat peran layanan saat pertama kali AWSDataLifecycleManagerDefaultRoleForAMIManagementmembuat kebijakan AMI yang didukung EBS.
Jika Anda tidak menggunakan konsol, Anda dapat membuat peran layanan secara manual menggunakan create-default-role--resource-type
, tentukan snapshot
untuk membuat AWSDataLifecycleManagerDefaultRole, atau image
membuat AWSData LifecycleManagerDefaultRoleForAMIManagement.
$
aws dlm create-default-role --resource-typesnapshot|image
Jika Anda menghapus peran layanan default, kemudian ingin membuatnya lagi, Anda dapat menggunakan proses yang sama untuk membuatnya ulang di akun Anda.
Peran layanan kustom untuk Amazon Data Lifecycle Manager
Sebagai alternatif untuk menggunakan peran layanan default, Anda dapat membuat peran IAM kustom dengan izin yang diperlukan lalu memilihnya saat Anda membuat kebijakan siklus hidup.
Untuk membuat peran IAM kustom
-
Buat peran dengan izin sebagai berikut.
-
Izin diperlukan untuk mengelola kebijakan siklus hidup snapshot
-
Izin diperlukan untuk mengelola kebijakan siklus hidup AMI
Untuk informasi selengkapnya, lihat Membuat Peran dalam Panduan Pengguna IAM.
-
-
Tambahkan hubungan kepercayaan ke peran tersebut.
-
Di konsol IAM, pilih Peran.
-
Pilih peran yang Anda buat, lalu pilih Hubungan kepercayaan.
-
Pilih Edit Hubungan Kepercayaan, tambahkan kebijakan berikut, lalu pilih Perbarui Kebijakan Kepercayaan.
Kami menyarankan Anda menggunakan kunci syarat
aws:SourceAccount
danaws:SourceArn
untuk melindungi diri Anda dari masalah wakil yang membingungkan. Misalnya, Anda dapat menambahkan blok kondisi berikut ke kebijakan kepercayaan sebelumnya.aws:SourceAccount
adalah pemilik kebijakan siklus hidup danaws:SourceArn
adalah ARN dari kebijakan siklus hidup. Jika Anda tidak mengetahui ID kebijakan siklus hidup, Anda dapat mengganti bagian ARN tersebut dengan wildcard (*
), lalu memperbarui kebijakan trust setelah Anda membuat kebijakan siklus hidup."Condition": { "StringEquals": { "aws:SourceAccount": "
account_id
" }, "ArnLike": { "aws:SourceArn": "arn:partition
:dlm:region
:account_id
:policy/policy_id
" } }
-