Steuern Sie den Zugriff auf Amazon Data Lifecycle Manager mithilfe von IAM

Für den Zugriff auf Amazon Data Lifecycle Manager sind Anmeldeinformationen erforderlich. Diese Anmeldeinformationen müssen über Berechtigungen für den Zugriff auf AWS Ressourcen wie Instances, Volumes, Snapshots und AMIs verfügen.

Die folgenden IAM Berechtigungen sind erforderlich, um Amazon Data Lifecycle Manager zu verwenden.

Anmerkung

Die Berechtigungen ec2:DescribeAvailabilityZones, ec2:DescribeRegions, kms:ListAliases und kms:DescribeKey sind nur für Konsolenbenutzer erforderlich. Wenn kein Konsolenzugriff erforderlich ist, können Sie die Berechtigungen entfernen.
Das ARN Format der AWSDataLifecycleManagerDefaultRoleRolle unterscheidet sich je nachdem, ob sie mit der Konsole oder der erstellt wurde AWS CLI. Wenn die Rolle mit der Konsole erstellt wurde, lautet das ARN Formatarn:aws:iam::account_id:role/service-role/AWSDataLifecycleManagerDefaultRole. Wenn die Rolle mit dem erstellt wurde AWS CLI, lautet das ARN Format arn:aws:iam::account_id:role/AWSDataLifecycleManagerDefaultRole Die folgende Richtlinie geht davon aus, dass die Rolle mit dem erstellt wurde AWS CLI.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "dlm:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::accound_id:role/service-role/AWSDataLifecycleManagerDefaultRole",
                "arn:aws:iam::accound_id:role/service-role/AWSDataLifecycleManagerDefaultRoleForAMIManagement"
                ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeRegions",
                "kms:ListAliases",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}

Berechtigungen für die Verschlüsselung

Berücksichtigen Sie Folgendes, wenn Sie mit Amazon Data Lifecycle Manager und verschlüsselten Ressourcen arbeiten.

Wenn das Quell-Volume verschlüsselt ist, stellen Sie sicher, dass die Standardrollen (AWSDataLifecycleManagerDefaultRoleund AWSDataLifecycleManagerDefaultRoleForAMIManagement) von Amazon Data Lifecycle Manager berechtigt sind, die zur Verschlüsselung des Volumes verwendeten KMS Schlüssel zu verwenden.
Wenn Sie Regionsübergreifendes Kopieren für unverschlüsselte oder durch unverschlüsselte Snapshots AMIs gesicherte Snapshots aktivieren und sich dafür entscheiden, die Verschlüsselung in der Zielregion zu aktivieren, stellen Sie sicher, dass die Standardrollen berechtigt sind, den KMS Schlüssel zu verwenden, der für die Verschlüsselung in der Zielregion erforderlich ist.
Wenn Sie das regionsübergreifende Kopieren für verschlüsselte oder durch verschlüsselte Snapshots AMIs gesicherte Snapshots aktivieren, stellen Sie sicher, dass die Standardrollen berechtigt sind, sowohl den Quell- als auch den Zielschlüssel zu verwenden. KMS
Wenn Sie die Snapshot-Archivierung für verschlüsselte Snapshots aktivieren, stellen Sie sicher, dass die Amazon Data Lifecycle Manager Manager-Standardrolle () berechtigt AWSDataLifecycleManagerDefaultRoleist, den KMS Schlüssel zu verwenden, der zur Verschlüsselung des Snapshots verwendet wird.

Weitere Informationen finden Sie im AWS Key Management Service Entwicklerhandbuch unter Benutzern mit anderen Konten die Verwendung eines KMS Schlüssels gestatten.

Weitere Informationen finden Sie im Benutzerhandbuch unter Ändern von Berechtigungen für einen IAM Benutzer.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Richtlinien löschen

AWS verwaltete Richtlinien