AWS verwaltete Richtlinien für Amazon Data Lifecycle Manager - Amazon EBS
AWSDataLifecycleManagerServiceRoleAWSDataLifecycleManagerServiceRoleForAMIManagementAWSDataLifecycleManagerSSMFullAccessAWS verwaltete Richtlinienaktualisierungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS verwaltete Richtlinien für Amazon Data Lifecycle Manager

Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen. AWS Mit verwalteten Richtlinien können Sie Benutzern, Gruppen und Rollen die entsprechenden Berechtigungen effizienter zuweisen, als wenn Sie die Richtlinien selbst schreiben müssten.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen jedoch nicht ändern. AWS aktualisiert gelegentlich die in einer AWS verwalteten Richtlinie definierten Berechtigungen. Diese Aktualisierung wirkt sich auf alle Prinzipal-Entitäten (Benutzer, Gruppen und Rollen) aus, an die die Richtlinie angefügt ist.

Amazon Data Lifecycle Manager bietet AWS verwaltete Richtlinien für allgemeine Anwendungsfälle. Diese Richtlinien erleichtern die Definition der geeigneten Berechtigungen und die Steuerung des Zugriffs auf Ihre Ressourcen. Die von Amazon Data Lifecycle Manager bereitgestellten AWS verwalteten Richtlinien sind so konzipiert, dass sie Rollen zugeordnet werden können, die Sie an Amazon Data Lifecycle Manager übergeben.

AWSDataLifecycleManagerServiceRole

Die AWSDataLifecycleManagerServiceRoleRichtlinie gewährt Amazon Data Lifecycle Manager die entsprechenden Berechtigungen, um EBS Amazon-Snapshot-Richtlinien und Richtlinien für kontoübergreifendes Kopieren von Ereignissen zu erstellen und zu verwalten.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateSnapshot",
                "ec2:CreateSnapshots",
                "ec2:DeleteSnapshot",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ec2:DescribeSnapshots",
                "ec2:EnableFastSnapshotRestores",
                "ec2:DescribeFastSnapshotRestores",
                "ec2:DisableFastSnapshotRestores",
                "ec2:CopySnapshot",
                "ec2:ModifySnapshotAttribute",
                "ec2:DescribeSnapshotAttribute",
                "ec2:ModifySnapshotTier",
                "ec2:DescribeSnapshotTierStatus"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "events:PutRule",
                "events:DeleteRule",
                "events:DescribeRule",
                "events:EnableRule",
                "events:DisableRule",
                "events:ListTargetsByRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
            "Resource": "arn:aws:events:*:*:rule/AwsDataLifecycleRule.managed-cwe.*"
        }
    ]
}

AWSDataLifecycleManagerServiceRoleForAMIManagement

Die AWSDataLifecycleManagerServiceRoleForAMIManagementRichtlinie gewährt Amazon Data Lifecycle Manager die entsprechenden Berechtigungen, um von Amazon EBS unterstützte AMI Richtlinien zu erstellen und zu verwalten.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": [
                "arn:aws:ec2:*::snapshot/*",
                "arn:aws:ec2:*::image/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages",
                "ec2:DescribeInstances",
                "ec2:DescribeImageAttribute",
                "ec2:DescribeVolumes",
                "ec2:DescribeSnapshots"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteSnapshot",
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ResetImageAttribute",
                "ec2:DeregisterImage",
                "ec2:CreateImage",
                "ec2:CopyImage",
                "ec2:ModifyImageAttribute"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:EnableImageDeprecation",
                "ec2:DisableImageDeprecation"
            ],
            "Resource": "arn:aws:ec2:*::image/*"
        }
    ]
}

AWSDataLifecycleManagerSSMFullAccess

Erlaubt Amazon Data Lifecycle Manager die Berechtigung, die Systems Manager Manager-Aktionen auszuführen, die für die Ausführung von Pre- und Post-Skripten auf allen EC2 Amazon-Instances erforderlich sind.

Wichtig

Die Richtlinie verwendet den aws:ResourceTag Bedingungsschlüssel, um den Zugriff auf bestimmte SSM Dokumente einzuschränken, wenn Pre- und Post-Skripte verwendet werden. Damit Amazon Data Lifecycle Manager auf die SSM Dokumente zugreifen kann, müssen Sie sicherstellen, dass Ihre SSM Dokumente mit gekennzeichnet sindDLMScriptsAccess:true. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSSMReadOnlyAccess",
            "Effect": "Allow",
            "Action": [
                "ssm:GetCommandInvocation",
                "ssm:ListCommands",
                "ssm:DescribeInstanceInformation"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowTaggedSSMDocumentsOnly",
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand",
                "ssm:DescribeDocument",
                "ssm:GetDocument"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:document/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/DLMScriptsAccess": "true"
                }
            }
        },
        {
            "Sid": "AllowSpecificAWSOwnedSSMDocuments",
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand",
                "ssm:DescribeDocument",
                "ssm:GetDocument"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:document/AWSEC2-CreateVssSnapshot",
                "arn:aws:ssm:*:*:document/AWSSystemsManagerSAP-CreateDLMSnapshotForSAPHANA"
            ]
        },
        {
            "Sid": "AllowAllEC2Instances",
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*"
            ]
        }
    ]
}

AWS verwaltete Richtlinienaktualisierungen

AWS Dienste verwalten und aktualisieren AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Dienste fügen einer AWS verwalteten Richtlinie gelegentlich zusätzliche Berechtigungen hinzu, um neue Funktionen zu unterstützen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Es ist sehr wahrscheinlich, dass Dienste eine AWS verwaltete Richtlinie aktualisieren, wenn eine neue Funktion eingeführt wird oder wenn neue Operationen verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.

Die folgende Tabelle enthält Einzelheiten zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon Data Lifecycle Manager, seit dieser Service begonnen hat, diese Änderungen zu verfolgen. Abonnieren Sie den RSS Feed auf der, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhaltenDokumentenverlauf für das EBS Amazon-Benutzerhandbuch.

Änderung Beschreibung Datum
AWSDataLifecycleManagerSSMFullAccess— Die Richtlinienberechtigungen wurden aktualisiert. Die Richtlinie wurde aktualisiert, um anwendungskonsistente Schnappschüsse für die SAP HANA Verwendung des Dokuments zu unterstützen. AWSSystemsManagerSAP-CreateDLMSnapshotForSAPHANA SSM 17. November 2023
AWSDataLifecycleManagerSSMFullAccess— Eine neue AWS verwaltete Richtlinie wurde hinzugefügt. Amazon Data Lifecycle Manager hat die AWSDataLifecycleManagerSSMFullAccess AWS verwaltete Richtlinie hinzugefügt. 7. November 2023
AWSDataLifecycleManagerServiceRole— Es wurden Berechtigungen zur Unterstützung der Snapshot-Archivierung hinzugefügt. In Amazon Data Lifecycle Manager wurden die Aktionen ec2:ModifySnapshotTier und ec2:DescribeSnapshotTierStatus der Berechtigung zum Erteilen von Snapshot-Richtlinien hinzugefügt, um Snapshots zu archivieren und den Archivierungsstatus für Snapshots zu überprüfen. 30. September 2022
AWSDataLifecycleManagerServiceRoleForAMIManagement— Es wurden Berechtigungen zur Unterstützung AMI veralteter Versionen hinzugefügt. Amazon Data Lifecycle Manager hat die Berechtigungen ec2:EnableImageDeprecation und ec2:DisableImageDeprecation actions to grant EBS -backed AMI policies hinzugefügt, um veraltete Versionen zu aktivieren und zu AMI deaktivieren. 23. August 2021
Amazon Data Lifecycle Manager hat mit der Verfolgung von Änderungen begonnen Amazon Data Lifecycle Manager hat damit begonnen, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. 23. August 2021