Utiliser une politique gérée par IAM pour accorder des autorisations pour les instantanés basés sur VSS - Amazon Elastic Compute Cloud
Politique de gestion des snapshots VSSAttacher une stratégie VSS

Utiliser une politique gérée par IAM pour accorder des autorisations pour les instantanés basés sur VSS

La politique AWSEC2VssSnapshotPolicy gérée permet à Systems Manager d’effectuer les actions suivantes sur votre instance Windows :

  • Créez et balisez des instantanés EBS

  • Créez et balisez des Amazon Machine Images (AMI)

  • Attachez des métadonnées telles que l’ID du périphérique aux balises d’instantané par défaut créées par VSS.

Cette rubrique décrit les détails des autorisations pour la politique gérée par VSS et explique comment l’associer au rôle IAM de votre profil d’instance EC2.

AWSEC2VssSnapshotPolicydétails de la politique gérée

Une stratégie AWS gérée par est une stratégie autonome qu’Amazon fournit aux AWS clients. AWSLes politiques gérées par sont conçues pour affecter des autorisations dans des cas d’utilisation courants. Vous ne pouvez pas modifier les autorisations définies dans les politiques gérées par AWS. Toutefois, vous pouvez copier la politique et l’utiliser comme référence pour une politique gérée par le client spécifique à votre cas d’utilisation.

Pour plus d’informations sur les politiques gérées AWS, consultez Politiques gérées AWS dans le Guide de l’utilisateur IAM.

Pour utiliser la politique AWSEC2VssSnapshotPolicygérée, vous pouvez l’associer au rôle IAM associé à vos instances Windows EC2. Cette politique permet à la solution EC2 VSS de créer et d’ajouter des balises aux Amazon Machine Images (AMI) et aux instantanés EBS. Pour associer la politique, consultez Associez la politique de gestion des instantanés VSS à votre rôle de profil d’instance.

Autorisations octroyées par AWSEC2VssSnapshotPolicy

La AWSEC2VssSnapshotPolicypolitique inclut les autorisations Amazon EC2 suivantes pour permettre à Amazon EC2 de créer et de gérer des instantanés VSS en votre nom. Vous pouvez associer cette politique gérée au rôle de profil d’instance IAM que vous utilisez pour vos instances Windows EC2.

  • EC2:CreateTags — Ajoutez des balises aux instantanés EBS et aux AMI pour aider à identifier et à classer les ressources.

  • ec2:DescribeInstanceAttribute — Récupérez les volumes EBS et les mappages de périphériques de blocs correspondants attachés à l’instance cible.

  • EC2:CreateSnapshots — Créez des instantanés de volumes EBS.

  • EC2:CreateImage — Créez une AMI à partir d’une instance EC2 en cours d’exécution.

  • ec2:DescribeImages — Récupère les informations relatives aux AMI et aux instantanés EC2.

  • ec2:DescribeSnapshots — Déterminez l’heure de création et le statut des instantanés afin de vérifier la cohérence de l’application.

Note

Pour afficher les détails relatifs aux autorisations pour cette politique, consultez AWSEC2VssSnapshotPolicy dans la Référence des politiques gérées AWS.

Simplifier les autorisations pour des cas d’utilisation spécifiques - niveau avancé

La politique AWSEC2VssSnapshotPolicy gérée inclut des autorisations pour toutes les manières dont vous pouvez créer des instantanés basés sur VSS. Vous pouvez créer une politique personnalisée qui inclut uniquement les autorisations dont vous avez besoin.

Cas d’utilisation : créer une AMI, Cas d’utilisation : utiliser AWS Backup un service

Si vous utilisez exclusivement CreateAmi cette option, ou si vous créez des instantanés basés sur VSS uniquement via le AWS Backup service, vous pouvez rationaliser les déclarations de politique comme suit.

  • Omettez les déclarations de politique identifiées par les ID d’instructions (SID) suivants :

    • CreateSnapshotsWithTag

    • CreateSnapshotsAccessInstance

    • CreateSnapshotsAccessVolume

  • Ajustez l’CreateTagsOnResourceCreationénoncé comme suit :

    • Supprimer arn:aws:ec2:*:*:snapshot/* des ressources.

    • Supprimer CreateSnapshots de la ec2:CreateAction condition.

  • Ajustez l’CreateTagsAfterResourceCreationinstruction pour la arn:aws:ec2:*:*:snapshot/* supprimer des ressources.

  • Ajustez l’DescribeImagesAndSnapshotsinstruction à supprimer ec2:DescribeSnapshots de l’action de la déclaration.

Cas d’utilisation : Snapshot uniquement

Si vous n’utilisez pas CreateAmi cette option, vous pouvez rationaliser les déclarations de politique comme suit.

  • Omettez les déclarations de politique identifiées par les ID d’instructions (SID) suivants :

    • CreateImageAccessInstance

    • CreateImageWithTag

  • Ajustez l’CreateTagsOnResourceCreationénoncé comme suit :

    • Supprimer arn:aws:ec2:*:*:image/* des ressources.

    • Supprimer CreateImage de la ec2:CreateAction condition.

  • Ajustez l’CreateTagsAfterResourceCreationinstruction pour la arn:aws:ec2:*:*:image/* supprimer des ressources.

  • Ajustez l’DescribeImagesAndSnapshotsinstruction à supprimer ec2:DescribeImages de l’action de la déclaration.

Note

Pour garantir que votre politique personnalisée fonctionne comme prévu, nous vous recommandons de consulter et d’intégrer régulièrement des mises à jour à la politique gérée.

Associez la politique de gestion des instantanés VSS à votre rôle de profil d’instance

Pour accorder des autorisations pour les instantanés basés sur VSS pour votre instance Windows EC2, vous pouvez associer la politique AWSEC2VssSnapshotPolicygérée à votre rôle de profil d’instance comme suit. Il est important de vous assurer que votre instance répond à toutes les exigencesConfiguration système requise.

Note

Pour utiliser la politique gérée, la version AwsVssComponents du package 2.3.1 ou une version ultérieure doit être installée sur votre instance. Pour l’historique des versions, voirVersions du package AwsVssComponents.

  1. Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, choisissez Rôles pour afficher la liste des rôles IAM auxquels vous avez accès.

  3. Sélectionnez le lien Nom du rôle associé à votre instance. La page contenant les détails du rôle s’ouvre.

  4. Pour joindre la politique gérée, choisissez Ajouter des autorisations, dans le coin supérieur droit du panneau de liste. Ensuite choisissez Associer des politiques dans la liste déroulante.

  5. Pour rationaliser les résultats, saisissez le nom de la stratégie dans la barre de recherche (AWSEC2VssSnapshotPolicy).

  6. Cochez la case située en regard du nom de la stratégie à associer, puis sélectionnez Ajouter des autorisations.