View a markdown version of this page

Controlar o acesso ao Amazon Data Lifecycle Manager usando o IAM - Amazon EBS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controlar o acesso ao Amazon Data Lifecycle Manager usando o IAM

O acesso ao Amazon Data Lifecycle Manager exige credenciais. Essas credenciais devem ter permissões para acessar os recursos AWS , como instâncias, volumes, snapshots e AMIs.

As permissões do IAM a seguir são necessárias para usar o Amazon Data Lifecycle Manager.

nota

  • As permissões ec2:DescribeAvailabilityZones, ec2:DescribeRegions, kms:ListAliases e kms:DescribeKey são necessárias somente para usuários do console. Se o acesso ao console não for necessário, será possível remover as permissões.

  • O formato ARN da AWSDataLifecycleManagerDefaultRolefunção difere dependendo se ela foi criada usando o console ou o. AWS CLI Se a função foi criada usando o console, o formato do ARN é arn:aws:iam::account_id:role/service-role/AWSDataLifecycleManagerDefaultRole. Se a função foi criada usando o AWS CLI, o formato ARN é. arn:aws:iam::account_id:role/AWSDataLifecycleManagerDefaultRole

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "dlm:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::111122223333:role/AWSDataLifecycleManagerDefaultRole",
                "arn:aws:iam::111122223333:role/AWSDataLifecycleManagerDefaultRoleForAMIManagement",
                "arn:aws:iam::111122223333:role/service-role/AWSDataLifecycleManagerDefaultRole",
                "arn:aws:iam::111122223333:role/service-role/AWSDataLifecycleManagerDefaultRoleForAMIManagement"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeRegions",
                "kms:ListAliases",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}
Permissões para criptografia

Considere o seguinte ao trabalhar com o Amazon Data Lifecycle Manager e recursos criptografados.

  • Se o volume de origem estiver criptografado, certifique-se de que as funções padrão do Amazon Data Lifecycle Manager (AWSDataLifecycleManagerDefaultRolee AWSDataLifecycleManagerDefaultRoleForAMIManagement) tenham permissão para usar as chaves KMS usadas para criptografar o volume.

  • Se você habilitar Cross Region copy (Cópia entre regiões) para snapshots não criptografados ou AMIs apoiadas por snapshots não criptografados e optar por ativar a criptografia na região de destino, verifique se as funções padrão têm permissão para usar a Chave do KMS necessária para executar a criptografia na região de destino.

  • Se você habilitar a Cross Region copy (Cópia entre regiões) para snapshots criptografados ou AMIs apoiadas por snapshots criptografados, verifique se as funções padrão têm permissão para usar as Chaves do KMS de origem e de destino.

  • Se você habilitar o arquivamento de snapshots para snapshots criptografados, certifique-se de que a AWSDataLifecycleManagerDefaultRolefunção padrão do Amazon Data Lifecycle Manager () tenha permissão para usar a chave KMS usada para criptografar o snapshot.

Para obter mais informações, consulte Permissão para usuários em outras contas usarem uma chave KMS no Guia de desenvolvedor do AWS Key Management Service .

Para obter mais informações, consulte Alteração de permissões para um usuário no Guia do usuário do IAM.