Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verwenden Sie eine IAM-verwaltete Richtlinie, um Berechtigungen für VSS-basierte Snapshots zu gewähren
<a name="vss-iam-reqs"></a>

Die AWSEC2VssSnapshotPolicy-verwaltete Richtlinie ermöglicht es Systems Manager, die folgenden Aktionen auf Ihrer Windows-Instance auszuführen:
+ EBS-Snapshots erstellen und markieren
+ Amazon Machine Images erstellen und taggen (AMIs)
+ Fügen Sie Metadaten wie die Geräte-ID an die von VSS erstellten Snapshot-Standard-Tags an.

Dieses Thema behandelt die Berechtigungsdetails für die VSS-verwaltete Richtlinie und wie Sie sie an die IAM-Rolle Ihres EC2-Instance-Profils anhängen können.

**Topics**
+ [AWSEC2VssSnapshotPolicy Details zur verwalteten Richtlinie](#vss-iam-manpol-AWSEC2VssSnapshotPolicy)
+ [Fügen Sie die verwaltete VSS-Snapshot-Richtlinie Ihrer Instance-Profilrolle hinzu](#vss-snapshots-attach-policy)

## AWSEC2VssSnapshotPolicy Details zur verwalteten Richtlinie
<a name="vss-iam-manpol-AWSEC2VssSnapshotPolicy"></a>

Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die Amazon AWS seinen Kunden zur Verfügung stellt. AWS verwaltete Richtlinien dienen dazu, Berechtigungen für allgemeine Anwendungsfälle zu gewähren. Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Sie können die Richtlinie jedoch kopieren und als Grundlage für eine [vom Kunden verwaltete Richtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) verwenden, die speziell auf Ihren Anwendungsfall zugeschnitten ist.

 Weitere Informationen zu AWS verwalteten Richtlinien finden Sie unter [AWS Verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.

Um die **AWSEC2VssSnapshotPolicy**-verwaltete Richtlinie zu verwenden, können Sie sie der IAM-Rolle zuordnen, die Ihren EC2-Windows-Instances zugewiesen ist. Diese Richtlinie ermöglicht es der EC2 VSS-Lösung, Tags zu Amazon Machine Images (AMIs) und EBS-Snapshots zu erstellen und hinzuzufügen. Informationen zum Anfügen der Richtlinie finden Sie unter [Fügen Sie die verwaltete VSS-Snapshot-Richtlinie Ihrer Instance-Profilrolle hinzu](#vss-snapshots-attach-policy).

### Berechtigungen vonAWSEC2VssSnapshotPolicy
<a name="vss-iam-manpol-AWSEC2VssSnapshotPolicy-details"></a>

Die **AWSEC2VssSnapshotPolicy**-Richtlinie umfasst die folgenden Amazon-EC2-Berechtigungen, die es Amazon EC2 ermöglichen, VSS-Snapshots in Ihrem Namen zu erstellen und zu verwalten. Sie können diese verwaltete Richtlinie an die IAM-Instance-Profilrolle anhängen, die Sie für Ihre EC2-Windows-Instances verwenden.
+ **ec2: CreateTags** — Fügen Sie Tags zu EBS-Snapshots hinzu und helfen Ihnen dabei, die Ressourcen zu identifizieren und AMIs zu kategorisieren.
+ **ec2: DescribeInstanceAttribute** — Ruft die EBS-Volumes und die entsprechenden Blockgerätezuordnungen ab, die an die Zielinstanz angehängt sind.
+ **ec2: CreateSnapshots** — Erstellen Sie Snapshots von EBS-Volumes.
+ **ec2: CreateImage** — Erstellen Sie ein AMI aus einer laufenden EC2-Instance.
+ **ec2: DescribeImages** — Ruft die Informationen für AMIs EC2 und Snapshots ab.
+ **ec2: DescribeSnapshots** — Ermitteln Sie die Erstellungszeit und den Status von Snapshots, um die Anwendungskonsistenz zu überprüfen.

**Anmerkung**  
Informationen zu den Berechtigungsdetails für diese Richtlinie finden Sie unter [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSEC2VssSnapshotPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSEC2VssSnapshotPolicy.html) in der *Referenz zu von AWS verwalteten Richtlinien*.

### Optimieren Sie die Berechtigungen für bestimmte Anwendungsfälle – für Fortgeschrittene
<a name="scope-down-perms"></a>

Die `AWSEC2VssSnapshotPolicy`-verwaltete Richtlinie umfasst Berechtigungen für alle Arten, wie Sie VSS-basierte Snapshots erstellen können. Sie können eine benutzerdefinierte Richtlinie erstellen, die nur die Berechtigungen enthält, die Sie benötigen.

**Anwendungsfall: AMI erstellen, Anwendungsfall: AWS Backup Dienst verwenden**

Wenn Sie ausschließlich `CreateAmi` diese Option verwenden oder wenn Sie VSS-basierte Snapshots nur über den AWS Backup Service erstellen, können Sie die Richtlinienangaben wie folgt optimieren.
+ Lassen Sie die durch die folgende Aussage () identifizierten Richtlinienaussagen weg: IDs SIDs
  + `CreateSnapshotsWithTag`
  + `CreateSnapshotsAccessInstance`
  + `CreateSnapshotsAccessVolume`
+ Passen Sie die `CreateTagsOnResourceCreation` Aussage wie folgt an:
  + `arn:aws:ec2:*:*:snapshot/*` aus der Ressource entfernen.
  + `CreateSnapshots` aus dem `ec2:CreateAction` Bedingung entfernen.
+ Passen Sie die `CreateTagsAfterResourceCreation` Aussage an, um sie `arn:aws:ec2:*:*:snapshot/*` aus den Ressourcen zu entfernen.
+ Passen Sie die `DescribeImagesAndSnapshots` Aussage an, um sie `ec2:DescribeSnapshots` aus der Aussageaktion zu entfernen.

**Anwendungsfall: Nur Snapshot**

Wenn Sie die `CreateAmi`-Option nicht verwenden, können Sie die Richtlinienerklärungen wie folgt vereinfachen.
+ Lassen Sie die in der folgenden Aussage identifizierten Grundsatzerklärungen weg IDs ()SIDs:
  + `CreateImageAccessInstance`
  + `CreateImageWithTag`
+ Passen Sie die `CreateTagsOnResourceCreation` Aussage wie folgt an:
  + `arn:aws:ec2:*:*:image/*` aus der Ressource entfernen.
  + `CreateImage` aus dem `ec2:CreateAction` Bedingung entfernen.
+ Passen Sie die `CreateTagsAfterResourceCreation` Aussage an, um sie `arn:aws:ec2:*:*:image/*` aus den Ressourcen zu entfernen.
+ Passen Sie die `DescribeImagesAndSnapshots` Aussage an, um sie `ec2:DescribeImages` aus der Aussageaktion zu entfernen.

**Anmerkung**  
Um sicherzustellen, dass Ihre benutzerdefinierte Richtlinie erwartungsgemäß funktioniert, empfehlen wir Ihnen, die verwaltete Richtlinie regelmäßig zu überprüfen und Aktualisierungen daran vorzunehmen.

## Fügen Sie die verwaltete VSS-Snapshot-Richtlinie Ihrer Instance-Profilrolle hinzu
<a name="vss-snapshots-attach-policy"></a>

Um Berechtigungen für VSS-basierte Snapshots für Ihre EC2-Windows-Instance zu gewähren, können Sie die **AWSEC2VssSnapshotPolicy**-verwaltete Richtlinie wie folgt an Ihre Instance-Profilrolle anhängen. Es ist wichtig sicherzustellen, dass Ihre Instance alle [Systemanforderungen](application-consistent-snapshots-prereqs.md#vss-sys-reqs) erfüllt.

**Anmerkung**  
Um die verwaltete Richtlinie verwenden zu können, muss auf Ihrer Instance die `AwsVssComponents`-Paketversion `2.3.1` oder neuer installiert sein. Informationen zum Versionsverlauf finden Sie unter [AwsVssComponents Paketversionen](vss-comps-history.md#AwsVssComponents-history).

1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.

1. Wählen Sie im Navigationsbereich **Rollen** aus, um eine Liste der IAM-Rollen anzuzeigen, auf die Sie Zugriff haben.

1. Wählen Sie den Link **Rollenname** für die Rolle aus, die Ihrer Instance zugeordnet ist. Die Detailseite „Rollen“ wird geöffnet.

1. Um die verwaltete Richtlinie anzuhängen, wählen Sie in der oberen rechten Ecke des Listenfensters die Option **Berechtigungen hinzufügen** aus. Wählen Sie in der Dropdown-Liste **Richtlinien anfügen** aus.

1. Geben Sie den Namen der Richtlinie in die Suchleiste ein (`AWSEC2VssSnapshotPolicy`), um die Ergebnisse zu optimieren.

1. Aktivieren Sie das Kontrollkästchen neben dem Namen der anzuhängenden Richtlinie und wählen Sie anschließend **Richtlinie hinzufügen** aus.