Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Controlla l'accesso ad Amazon Data Lifecycle Manager tramite IAM
L'accesso ad Amazon Data Lifecycle Manager richiede le apposite credenziali. Tali credenziali devono disporre delle autorizzazioni per accedere a AWS risorse, come istanze, volumi, istantanee e. AMIs
Le seguenti autorizzazioni IAM sono necessarie per utilizzare Amazon Data Lifecycle Manager.
**Nota**
Le autorizzazioni `ec2:DescribeAvailabilityZones`, `ec2:DescribeRegions`, `kms:ListAliases` e `kms:DescribeKey` sono richieste solo per gli utenti della console. Se l'accesso alla console non è richiesto, puoi rimuovere le autorizzazioni.
Il formato ARN del *AWSDataLifecycleManagerDefaultRole*ruolo varia a seconda che sia stato creato utilizzando la console o il. AWS CLI Se il ruolo è stato creato utilizzando la console, il formato ARN è `arn:aws:iam::account_id:role/service-role/AWSDataLifecycleManagerDefaultRole`. Se il ruolo è stato creato utilizzando il AWS CLI, il formato ARN è. `arn:aws:iam::account_id:role/AWSDataLifecycleManagerDefaultRole`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "dlm:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::111122223333:role/AWSDataLifecycleManagerDefaultRole",
"arn:aws:iam::111122223333:role/AWSDataLifecycleManagerDefaultRoleForAMIManagement",
"arn:aws:iam::111122223333:role/service-role/AWSDataLifecycleManagerDefaultRole",
"arn:aws:iam::111122223333:role/service-role/AWSDataLifecycleManagerDefaultRoleForAMIManagement"
]
},
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeAvailabilityZones",
"ec2:DescribeRegions",
"kms:ListAliases",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
------
**Autorizzazioni per la crittografia**
Quando lavori con Amazon Data Lifecycle Manager e risorse crittografate, considera quanto segue.
+ Se il volume di origine è crittografato, assicurati che i ruoli predefiniti di Amazon Data Lifecycle Manager (**AWSDataLifecycleManagerDefaultRole**e **AWSDataLifecycleManagerDefaultRoleForAMIManagement**) siano autorizzati a utilizzare le chiavi KMS utilizzate per crittografare il volume.
+ Se abiliti la **copia interregionale** per istantanee non crittografate o AMIs supportata da istantanee non crittografate e scegli di abilitare la crittografia nella regione di destinazione, assicurati che i ruoli predefiniti siano autorizzati a utilizzare la chiave KMS necessaria per eseguire la crittografia nella regione di destinazione.
+ Se abiliti la **copia interregionale** per le istantanee crittografate o AMIs supportata da istantanee crittografate, assicurati che i ruoli predefiniti siano autorizzati a utilizzare sia le chiavi KMS di origine che quelle di destinazione.
+ Se abiliti l'archiviazione degli snapshot per gli snapshot crittografati, assicurati che il **AWSDataLifecycleManagerDefaultRole**ruolo predefinito di Amazon Data Lifecycle Manager (sia autorizzato a utilizzare la chiave KMS utilizzata per crittografare lo snapshot).
Per ulteriori informazioni, consultare [Consentire agli utenti in altri account di utilizzare una chiave KMS](https://docs.aws.amazon.com//kms/latest/developerguide/key-policy-modifying-external-accounts.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.
Per ulteriori informazioni, consulta [Modifica delle autorizzazioni per un utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) nella *Guida per l'utente IAM*.
# AWS politiche gestite per Amazon Data Lifecycle Manager
Una policy AWS gestita è una policy autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni. AWS le politiche gestite consentono di assegnare in modo più efficiente le autorizzazioni appropriate a utenti, gruppi e ruoli rispetto a quando si devono scrivere le politiche autonomamente.
Tuttavia, non è possibile modificare le autorizzazioni definite nelle AWS politiche gestite. AWS aggiorna occasionalmente le autorizzazioni definite in una politica AWS gestita. In questi casi l'aggiornamento interessa tutte le entità principali (utenti, gruppi e ruoli) a cui è collegata la policy.
Amazon Data Lifecycle Manager fornisce policy AWS gestite per casi d'uso comuni. Queste policy consentono di definire le autorizzazioni appropriate e di controllare l'accesso alle risorse. Le policy AWS gestite fornite da Amazon Data Lifecycle Manager sono progettate per essere associate a ruoli trasferiti ad Amazon Data Lifecycle Manager.
**Topics**
+ [AWSDataLifecycleManagerServiceRole](#AWSDataLifecycleManagerServiceRole)
+ [AWSDataLifecycleManagerServiceRoleForAMIManagement](#AWSDataLifecycleManagerServiceRoleForAMIManagement)
+ [AWSDataLifecycleManagerSSMFullAccesso](#AWSDataLifecycleManagerSSMFullAccess)
+ [AWS aggiornamenti delle politiche gestiti](#policy-update)
## AWSDataLifecycleManagerServiceRole
La **AWSDataLifecycleManagerServiceRole**policy fornisce le autorizzazioni appropriate ad Amazon Data Lifecycle Manager per creare e gestire le policy di snapshot di Amazon EBS e le policy degli eventi di copia tra account.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateSnapshot",
"ec2:CreateSnapshots",
"ec2:DeleteSnapshot",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ec2:DescribeSnapshots",
"ec2:EnableFastSnapshotRestores",
"ec2:DescribeFastSnapshotRestores",
"ec2:DisableFastSnapshotRestores",
"ec2:CopySnapshot",
"ec2:ModifySnapshotAttribute",
"ec2:DescribeSnapshotAttribute",
"ec2:ModifySnapshotTier",
"ec2:DescribeSnapshotTierStatus",
"ec2:DescribeAvailabilityZones"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:DeleteRule",
"events:DescribeRule",
"events:EnableRule",
"events:DisableRule",
"events:ListTargetsByRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": "arn:aws:events:*:*:rule/AwsDataLifecycleRule.managed-cwe.*"
}
]
}
```
------
## AWSDataLifecycleManagerServiceRoleForAMIManagement
La **AWSDataLifecycleManagerServiceRoleForAMIManagement**policy fornisce le autorizzazioni appropriate ad Amazon Data Lifecycle Manager per creare e gestire policy AMI supportate da Amazon EBS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": [
"arn:aws:ec2:*::snapshot/*",
"arn:aws:ec2:*::image/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeImageAttribute",
"ec2:DescribeVolumes",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DeleteSnapshot",
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Effect": "Allow",
"Action": [
"ec2:ResetImageAttribute",
"ec2:DeregisterImage",
"ec2:CreateImage",
"ec2:CopyImage",
"ec2:ModifyImageAttribute"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:EnableImageDeprecation",
"ec2:DisableImageDeprecation"
],
"Resource": "arn:aws:ec2:*::image/*"
}
]
}
```
------
## AWSDataLifecycleManagerSSMFullAccesso
Fornisce ad Amazon Data Lifecycle Manager l'autorizzazione a eseguire le azioni di Systems Manager necessarie per eseguire gli script pre e post su tutte le istanze Amazon EC2.
**Importante**
La policy utilizza la chiave di condizione `aws:ResourceTag` per limitare l'accesso a documenti SSM specifici quando si utilizzano script pre e post. Per consentire ad Amazon Data Lifecycle Manager di accedere ai documenti SSM, devi assicurarti che i tuoi documenti SSM siano etichettati con `DLMScriptsAccess:true`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSSMReadOnlyAccess",
"Effect": "Allow",
"Action": [
"ssm:GetCommandInvocation",
"ssm:ListCommands",
"ssm:DescribeInstanceInformation"
],
"Resource": "*"
},
{
"Sid": "AllowTaggedSSMDocumentsOnly",
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:DescribeDocument",
"ssm:GetDocument"
],
"Resource": [
"arn:aws:ssm:*:*:document/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/DLMScriptsAccess": "true"
}
}
},
{
"Sid": "AllowSpecificAWSOwnedSSMDocuments",
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:DescribeDocument",
"ssm:GetDocument"
],
"Resource": [
"arn:aws:ssm:*:*:document/AWSEC2-CreateVssSnapshot",
"arn:aws:ssm:*:*:document/AWSSystemsManagerSAP-CreateDLMSnapshotForSAPHANA"
]
},
{
"Sid": "AllowAllEC2Instances",
"Effect": "Allow",
"Action": [
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
]
}
]
}
```
------
## AWS aggiornamenti delle politiche gestiti
AWS i servizi mantengono e aggiornano le politiche AWS gestite. Non è possibile modificare le autorizzazioni nelle politiche AWS gestite. I servizi aggiungono occasionalmente autorizzazioni aggiuntive a una policy AWS gestita per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino una politica AWS gestita quando viene lanciata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy AWS gestita, quindi gli aggiornamenti delle policy non comprometteranno le autorizzazioni esistenti.
La tabella seguente fornisce dettagli sugli aggiornamenti delle policy AWS gestite per Amazon Data Lifecycle Manager da quando questo servizio ha iniziato a tracciare queste modifiche. Per gli avvisi automatici sulle modifiche apportate a questa pagina, iscriversi al feed RSS alla pagina [Cronologia dei documenti per la Amazon EBS User Guide](doc-history.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| AWSDataLifecycleManagerServiceRole— Sono state aggiornate le autorizzazioni delle policy. | Amazon Data Lifecycle Manager ha aggiunto l'ec2:DescribeAvailabilityZonesazione per concedere alle policy di snapshot l'autorizzazione a ottenere informazioni sulle Local Zones. | 16 dicembre 2024 |
| AWSDataLifecycleManagerSSMFullAccesso: sono state aggiornate le autorizzazioni delle policy. | È stata aggiornata la policy per supportare snapshot coerenti con l'applicazione per SAP HANA utilizzando il documento SSM AWSSystemsManagerSAP-CreateDLMSnapshotForSAPHANA. | 17 novembre 2023 |
| AWSDataLifecycleManagerSSMFullAccesso: è stata aggiunta una nuova politica AWS gestita. | Amazon Data Lifecycle Manager ha aggiunto la policy gestita di Access. AWSData LifecycleManager SSMFull AWS | 7 novembre 2023 |
| AWSDataLifecycleManagerServiceRole— Sono state aggiunte le autorizzazioni per supportare l'archiviazione degli snapshot. | Amazon Data Lifecycle Manager ha aggiunto le operazioni ec2:ModifySnapshotTier e ec2:DescribeSnapshotTierStatus per concedere alle policy degli snapshot l'autorizzazione per l'archiviazione degli snapshot e il controllo dello stato dell'archivio per gli snapshot. | 30 settembre 2022 |
| AWSDataLifecycleManagerServiceRoleForAMIManagement— Sono state aggiunte le autorizzazioni per supportare la deprecazione AMI. | Amazon Data Lifecycle Manager ha aggiunto le operazioni ec2:EnableImageDeprecation e ec2:DisableImageDeprecation per concedere alle policy delle AMI EBS-backed l'autorizzazione per abilitare e disabilitare gli elementi obsoleti delle AMI. | 23 agosto 2021 |
| Amazon Data Lifecycle Manager ha iniziato a tenere traccia delle modifiche | Amazon Data Lifecycle Manager ha iniziato a tracciare le modifiche per le sue policy gestite. AWS | 23 agosto 2021 |
# Ruoli del servizio IAM per Amazon Data Lifecycle Manager
Un ruolo AWS Identity and Access Management (IAM) è simile a quello di un utente, in quanto è un' AWS identità con politiche di autorizzazione che determinano ciò che l'identità può e non può fare. AWS Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque. Un ruolo di servizio è un ruolo che un AWS servizio assume per eseguire azioni per conto dell'utente. In quanto servizio che esegue le operazioni di backup per tuo conto, Amazon Data Lifecycle Manager richiede che tu fornisca un ruolo da assumere durante l'esecuzione di operazioni di policy per tuo conto. Per ulteriori informazioni sui ruoli IAM, consulta [Ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) nella *Guida per l'utente di IAM*.
Il ruolo che passi ad Amazon Data Lifecycle Manager deve disporre di una policy IAM con le autorizzazioni che consentano ad Amazon Data Lifecycle Manager di eseguire azioni associate alle operazioni relative alle policy, come la creazione di snapshot, la copia di snapshot, l'eliminazione di snapshot AMIs e l'annullamento della registrazione. AMIs AMIs Sono necessarie autorizzazioni diverse per ciascuno dei tipi di policy di Amazon Data Lifecycle Manager. È inoltre necessario che Amazon Data Lifecycle Manager sia presente nell'elenco delle entità attendibili per il ruolo, permettendo quindi ad Amazon Data Lifecycle Manager di assumere quel ruolo.
**Topics**
+ [Ruoli di servizio predefiniti per Amazon Data Lifecycle Manager](#default-service-roles)
+ [Ruoli di servizio personalizzati per Amazon Data Lifecycle Manager](#custom-role)
## Ruoli di servizio predefiniti per Amazon Data Lifecycle Manager
Amazon Data Lifecycle Manager utilizza i seguenti ruoli di servizio predefiniti:
+ **AWSDataLifecycleManagerDefaultRole**—ruolo predefinito per la gestione degli snapshot. Considera attendibile per assumere il ruolo solo il servizio `dlm.amazonaws.com` e consente ad Amazon Data Lifecycle Manager di eseguire le operazioni richieste dalle policy di copia di snapshot e snapshot tra account per tuo conto. Questo ruolo utilizza la policy ` AWSDataLifecycleManagerServiceRole` AWS gestita.
**Nota**
Il formato ARN del ruolo varia a seconda che sia stato creato utilizzando la console o la AWS CLI. Se il ruolo è stato creato utilizzando la console, il formato ARN è `arn:aws:iam::account_id:role/service-role/AWSDataLifecycleManagerDefaultRole`. Se il ruolo è stato creato utilizzando il AWS CLI, il formato ARN è. `arn:aws:iam::account_id:role/AWSDataLifecycleManagerDefaultRole`
+ **AWSDataLifecycleManagerDefaultRoleForAMIManagement**—ruolo predefinito per la gestione. AMIs Considera attendibile per assumere il ruolo solo il servizio `dlm.amazonaws.com` e consente ad Amazon Data Lifecycle Manager di eseguire le operazioni richieste dalle policy AMI EBS-backed per tuo conto. Questo ruolo utilizza la politica `AWSDataLifecycleManagerServiceRoleForAMIManagement` AWS gestita.
Se utilizzi la console Amazon Data Lifecycle Manager, Amazon Data Lifecycle Manager **AWSDataLifecycleManagerDefaultRole**crea automaticamente il ruolo di servizio la prima volta che crei uno snapshot o una policy di copia degli snapshot tra account e **AWSDataLifecycleManagerDefaultRoleForAMIManagement**crea automaticamente il ruolo di servizio la prima volta che crei una policy AMI supportata da EBS.
Se non utilizzi la console, puoi creare manualmente i ruoli di servizio utilizzando il comando. [create-default-role](https://docs.aws.amazon.com/cli/latest/reference/dlm/create-default-role.html) Per`--resource-type`, specifica `snapshot` di creare AWSData LifecycleManagerDefaultRole o `image` creare AWSData LifecycleManagerDefaultRoleForAMIManagement.
```
$ aws dlm create-default-role --resource-type snapshot|image
```
Se elimini i ruoli di servizio predefiniti e quindi devi crearli di nuovo, puoi utilizzare lo stesso processo per ricreare i ruoli nel tuo account.
## Ruoli di servizio personalizzati per Amazon Data Lifecycle Manager
In alternativa all'utilizzo di ruoli di servizio predefiniti, puoi creare ruoli IAM personalizzati con le autorizzazioni necessarie e selezionarli durante la creazione della policy del ciclo di vita.
**Per creare un ruolo IAM personalizzato**
1. Creare ruoli con le seguenti autorizzazioni.
+ Autorizzazioni necessarie per la gestione delle policy del ciclo di vita degli snapshot
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateSnapshot",
"ec2:CreateSnapshots",
"ec2:DeleteSnapshot",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ec2:DescribeSnapshots",
"ec2:EnableFastSnapshotRestores",
"ec2:DescribeFastSnapshotRestores",
"ec2:DisableFastSnapshotRestores",
"ec2:CopySnapshot",
"ec2:ModifySnapshotAttribute",
"ec2:DescribeSnapshotAttribute",
"ec2:ModifySnapshotTier",
"ec2:DescribeSnapshotTierStatus",
"ec2:DescribeAvailabilityZones"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:DeleteRule",
"events:DescribeRule",
"events:EnableRule",
"events:DisableRule",
"events:ListTargetsByRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": "arn:aws:events:*:*:rule/AwsDataLifecycleRule.managed-cwe.*"
},
{
"Effect": "Allow",
"Action": [
"ssm:GetCommandInvocation",
"ssm:ListCommands",
"ssm:DescribeInstanceInformation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:DescribeDocument",
"ssm:GetDocument"
],
"Resource": [
"arn:aws:ssm:*:*:document/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/DLMScriptsAccess": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:DescribeDocument",
"ssm:GetDocument"
],
"Resource": [
"arn:aws:ssm:*::document/*"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"StringNotLike": {
"aws:ResourceTag/DLMScriptsAccess": "false"
}
}
}
]
}
```
------
+ Autorizzazioni necessarie per la gestione delle policy del ciclo di vita delle AMI
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": [
"arn:aws:ec2:*::snapshot/*",
"arn:aws:ec2:*::image/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeImageAttribute",
"ec2:DescribeVolumes",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DeleteSnapshot",
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Effect": "Allow",
"Action": [
"ec2:ResetImageAttribute",
"ec2:DeregisterImage",
"ec2:CreateImage",
"ec2:CopyImage",
"ec2:ModifyImageAttribute"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:EnableImageDeprecation",
"ec2:DisableImageDeprecation"
],
"Resource": "arn:aws:ec2:*::image/*"
}
]
}
```
------
Per ulteriori informazioni, consulta la pagina relativa alla [creazione di un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) nella *Guida per l'utente di IAM*.
1. Aggiungere una relazione di trust ai ruoli.
1. Nella console IAM, scegliere **Roles (Ruoli)**.
1. Seleziona i ruoli appena creati e quindi scegli **Trust relationships** (Relazioni di affidabilità).
1. Selezionare **Edit Trust Relationship (Modifica relazione di trust)**, aggiungere la seguente policy e quindi scegliere **Update Trust Policy (Aggiorna policy di trust)**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"Service": "dlm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}]
}
```
------
Si consiglia di utilizzare il le chiavi di condizione `aws:SourceAccount` e `aws:SourceArn` per proteggersi dal [problema del "confused deputy"](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html). Ad esempio, è possibile aggiungere il seguente blocco di condizione alla policy di attendibilità precedente. `aws:SourceAccount` è il proprietario della policy del ciclo di vita e `aws:SourceArn` è l'ARN della policy del ciclo di vita. Se non si conosce l'ID policy del ciclo di vita, è possibile sostituire quella parte dell'ARN con un carattere jolly (`*`) e quindi aggiornare la policy di attendibilità dopo aver creato la policy del ciclo di vita.
```
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account_id"
},
"ArnLike": {
"aws:SourceArn": "arn:partition:dlm:region:account_id:policy/policy_id"
}
}
```