Control de acceso a Amazon Data Lifecycle Manager con IAM - Amazon EBS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Control de acceso a Amazon Data Lifecycle Manager con IAM

Se requieren credenciales para acceder a Amazon Data Lifecycle Manager. Esas credenciales deben tener permisos para acceder a AWS los recursos, como instancias, volúmenes, instantáneas y AMIs.

Se requieren los siguientes permisos de IAM para utilizar Amazon Data Lifecycle Manager.

nota

  • Los permisos ec2:DescribeAvailabilityZones, ec2:DescribeRegions, kms:ListAliases y kms:DescribeKey solo son necesarios para los usuarios de la consola. Si no es necesario el acceso a la consola, puede eliminar los permisos.

  • El formato ARN del AWSDataLifecycleManagerDefaultRolerol varía en función de si se creó con la consola o con. AWS CLI Si el rol se crea mediante la consola, el formato de ARN es arn:aws:iam::account_id:role/service-role/AWSDataLifecycleManagerDefaultRole. Si el rol se creó con AWS CLI, el formato ARN es. arn:aws:iam::account_id:role/AWSDataLifecycleManagerDefaultRole

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "dlm:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::accound_id:role/AWSDataLifecycleManagerDefaultRole",
                "arn:aws:iam::accound_id:role/AWSDataLifecycleManagerDefaultRoleForAMIManagement",
			    "arn:aws:iam::accound_id:role/service-role/AWSDataLifecycleManagerDefaultRole",
                "arn:aws:iam::accound_id:role/service-role/AWSDataLifecycleManagerDefaultRoleForAMIManagement"
                ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeRegions",
                "kms:ListAliases",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}
Permisos para cifrado

Tenga en cuenta lo siguiente cuando trabaje con Amazon Data Lifecycle Manager y recursos cifrados.

  • Si el volumen de origen está cifrado, asegúrese de que los roles predeterminados de Amazon Data Lifecycle Manager (AWSDataLifecycleManagerDefaultRoley AWSDataLifecycleManagerDefaultRoleForAMIManagement) tengan permiso para usar las claves de KMS utilizadas para cifrar el volumen.

  • Si habilita la copia entre regiones para las instantáneas no cifradas o AMIs respaldadas por instantáneas no cifradas y decide habilitar el cifrado en la región de destino, asegúrese de que los roles predeterminados tengan permiso para usar la clave de KMS necesaria para realizar el cifrado en la región de destino.

  • Si habilita la copia entre regiones para las instantáneas cifradas o AMIs respaldadas por instantáneas cifradas, asegúrese de que las funciones predeterminadas tengan permiso para usar las claves KMS de origen y destino.

  • Si habilita el archivado de instantáneas para las instantáneas cifradas, asegúrese de que el rol predeterminado de Amazon Data Lifecycle Manager (AWSDataLifecycleManagerDefaultRoletiene permiso) para usar la clave de KMS utilizada para cifrar la instantánea.

Para obtener más información, consulte Permitir que los usuarios de otras cuentas utilicen una clave de KMS en la Guía para desarrolladores de AWS Key Management Service .

Para obtener más información, consulte Cambio de los permisos de un usuario de IAM en la Guía del usuario de IAM.