AWS políticas gestionadas para Amazon Data Lifecycle Manager - Amazon EBS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS políticas gestionadas para Amazon Data Lifecycle Manager

Una política AWS gestionada es una política independiente creada y administrada por AWS. AWS las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes. AWS Las políticas administradas permiten asignar los permisos adecuados a los usuarios, grupos y roles de forma más eficiente que si tuviera que escribir las políticas usted mismo.

Sin embargo, no puede cambiar los permisos definidos en las políticas AWS administradas. AWS actualiza ocasionalmente los permisos definidos en una política AWS administrada. Cuando esto ocurre, la actualización afecta a todas las entidades principales (usuarios, grupos y roles) a los que está asociada la política.

Amazon Data Lifecycle Manager proporciona políticas AWS administradas para casos de uso comunes. Estas políticas facilitan la definición de los permisos adecuados y controlan el acceso a los recursos. Las políticas AWS gestionadas que proporciona Amazon Data Lifecycle Manager están diseñadas para adjuntarse a las funciones que se transfieran a Amazon Data Lifecycle Manager.

AWSDataLifecycleManagerServiceRole

La AWSDataLifecycleManagerServiceRolepolítica proporciona los permisos adecuados a Amazon Data Lifecycle Manager para crear y gestionar las políticas de EBS instantáneas de Amazon y las políticas de eventos de copia multicuenta.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateSnapshot", "ec2:CreateSnapshots", "ec2:DeleteSnapshot", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ec2:DescribeSnapshots", "ec2:EnableFastSnapshotRestores", "ec2:DescribeFastSnapshotRestores", "ec2:DisableFastSnapshotRestores", "ec2:CopySnapshot", "ec2:ModifySnapshotAttribute", "ec2:DescribeSnapshotAttribute", "ec2:ModifySnapshotTier", "ec2:DescribeSnapshotTierStatus", "ec2:DescribeAvailabilityZones" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*::snapshot/*" }, { "Effect": "Allow", "Action": [ "events:PutRule", "events:DeleteRule", "events:DescribeRule", "events:EnableRule", "events:DisableRule", "events:ListTargetsByRule", "events:PutTargets", "events:RemoveTargets" ], "Resource": "arn:aws:events:*:*:rule/AwsDataLifecycleRule.managed-cwe.*" } ] }

AWSDataLifecycleManagerServiceRoleForAMIManagement

La AWSDataLifecycleManagerServiceRoleForAMIManagementpolítica proporciona los permisos adecuados a Amazon Data Lifecycle Manager para crear y gestionar AMI políticas EBS respaldadas por Amazon.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": [ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*::image/*" ] }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeImageAttribute", "ec2:DescribeVolumes", "ec2:DescribeSnapshots" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:DeleteSnapshot", "Resource": "arn:aws:ec2:*::snapshot/*" }, { "Effect": "Allow", "Action": [ "ec2:ResetImageAttribute", "ec2:DeregisterImage", "ec2:CreateImage", "ec2:CopyImage", "ec2:ModifyImageAttribute" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:EnableImageDeprecation", "ec2:DisableImageDeprecation" ], "Resource": "arn:aws:ec2:*::image/*" } ] }

AWSDataLifecycleManagerSSMFullAccess

Proporciona permiso a Amazon Data Lifecycle Manager para realizar las acciones de Systems Manager necesarias para ejecutar scripts previos y posteriores en todas las EC2 instancias de Amazon.

importante

La política utiliza la clave de aws:ResourceTag condición para restringir el acceso a SSM documentos específicos cuando se utilizan scripts previos y posteriores. Para permitir que Amazon Data Lifecycle Manager acceda a los SSM documentos, debe asegurarse de que SSM los documentos estén etiquetados conDLMScriptsAccess:true.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSSMReadOnlyAccess", "Effect": "Allow", "Action": [ "ssm:GetCommandInvocation", "ssm:ListCommands", "ssm:DescribeInstanceInformation" ], "Resource": "*" }, { "Sid": "AllowTaggedSSMDocumentsOnly", "Effect": "Allow", "Action": [ "ssm:SendCommand", "ssm:DescribeDocument", "ssm:GetDocument" ], "Resource": [ "arn:aws:ssm:*:*:document/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/DLMScriptsAccess": "true" } } }, { "Sid": "AllowSpecificAWSOwnedSSMDocuments", "Effect": "Allow", "Action": [ "ssm:SendCommand", "ssm:DescribeDocument", "ssm:GetDocument" ], "Resource": [ "arn:aws:ssm:*:*:document/AWSEC2-CreateVssSnapshot", "arn:aws:ssm:*:*:document/AWSSystemsManagerSAP-CreateDLMSnapshotForSAPHANA" ] }, { "Sid": "AllowAllEC2Instances", "Effect": "Allow", "Action": [ "ssm:SendCommand" ], "Resource": [ "arn:aws:ec2:*:*:instance/*" ] } ] }

AWS gestionó las actualizaciones de políticas

AWS los servicios mantienen y AWS actualizan las políticas gestionadas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios añaden permisos adicionales a una política AWS gestionada para admitir nuevas funciones. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Lo más probable es que los servicios actualicen una política AWS administrada cuando se lanza una nueva función o cuando hay nuevas operaciones disponibles. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.

En la siguiente tabla se proporcionan detalles sobre las actualizaciones de las políticas AWS gestionadas de Amazon Data Lifecycle Manager desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase al RSS feed deHistorial de documentos de la Guía del EBS usuario de Amazon.

Cambio Descripción Fecha
AWSDataLifecycleManagerServiceRole— Se actualizaron los permisos de la política. Amazon Data Lifecycle Manager agregó la ec2:DescribeAvailabilityZones acción para conceder permiso a las políticas de instantáneas para obtener información sobre las Zonas Locales. 16 de diciembre de 2024
AWSDataLifecycleManagerSSMFullAccess— Se actualizaron los permisos de la política. Se actualizó la política para admitir instantáneas coherentes con las aplicaciones para el SAP HANA uso del documento. AWSSystemsManagerSAP-CreateDLMSnapshotForSAPHANA SSM 17 de noviembre de 2023
AWSDataLifecycleManagerSSMFullAccess— Se ha añadido una nueva AWS política gestionada. Amazon Data Lifecycle Manager ha añadido la política AWSDataLifecycleManagerSSMFullAccess AWS gestionada. 7 de noviembre de 2023
AWSDataLifecycleManagerServiceRole— Se agregaron permisos para admitir el archivado de instantáneas. Amazon Data Lifecycle Manager ha agregado las acciones ec2:ModifySnapshotTier y ec2:DescribeSnapshotTierStatus a fin de conceder permiso a las políticas de instantáneas para archivar instantáneas y comprobar el estado del archivo de las instantáneas. 30 de septiembre de 2022
AWSDataLifecycleManagerServiceRoleForAMIManagement— Se agregaron permisos para respaldar la AMI obsolescencia. Amazon Data Lifecycle Manager agregó las ec2:DisableImageDeprecation acciones ec2:EnableImageDeprecation y para conceder permiso a las políticas EBS respaldadas por AMI políticas respaldadas para habilitar y deshabilitar la AMI obsolescencia. 23 de agosto de 2021
Amazon Data Lifecycle Manager comenzó a realizar el seguimiento de los cambios Amazon Data Lifecycle Manager comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas. 23 de agosto de 2021