Contrôlez l'accès à Amazon Data Lifecycle Manager à l'aide de IAM - Amazon EBS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôlez l'accès à Amazon Data Lifecycle Manager à l'aide de IAM

Des informations d’identification sont nécessiares pour accéder à Amazon Data Lifecycle Manager. Ces informations d'identification doivent être autorisées à accéder aux AWS ressources, telles que les instances, les volumes, les instantanés etAMIs.

Les IAM autorisations suivantes sont requises pour utiliser Amazon Data Lifecycle Manager.

Note

  • Les autorisations ec2:DescribeAvailabilityZones, ec2:DescribeRegions, kms:ListAliases et kms:DescribeKey sont nécessaires pour les utilisateurs de la console uniquement. Si l’accès à la console n’est pas requis, vous pouvez supprimer les autorisations.

  • Le ARN format du AWSDataLifecycleManagerDefaultRolerôle varie selon qu'il a été créé à l'aide de la console ou du AWS CLI. Si le rôle a été créé à l'aide de la console, le ARN format estarn:aws:iam::account_id:role/service-role/AWSDataLifecycleManagerDefaultRole. Si le rôle a été créé à l'aide du AWS CLI, le ARN format estarn:aws:iam::account_id:role/AWSDataLifecycleManagerDefaultRole.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "dlm:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::accound_id:role/AWSDataLifecycleManagerDefaultRole",
                "arn:aws:iam::accound_id:role/AWSDataLifecycleManagerDefaultRoleForAMIManagement",
			    "arn:aws:iam::accound_id:role/service-role/AWSDataLifecycleManagerDefaultRole",
                "arn:aws:iam::accound_id:role/service-role/AWSDataLifecycleManagerDefaultRoleForAMIManagement"
                ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeRegions",
                "kms:ListAliases",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}
Autorisations pour le chiffrement

Tenez compte des éléments suivants lorsque vous travaillez avec Amazon Data Lifecycle Manager et des ressources chiffrées.

  • Si le volume source est chiffré, assurez-vous que les rôles par défaut (AWSDataLifecycleManagerDefaultRoleet AWSDataLifecycleManagerDefaultRoleForAMIManagement) d'Amazon Data Lifecycle Manager sont autorisés à utiliser les KMS clés utilisées pour chiffrer le volume.

  • Si vous activez la copie interrégionale pour les instantanés non chiffrés ou AMIs sauvegardés par des instantanés non chiffrés, et que vous choisissez d'activer le chiffrement dans la région de destination, assurez-vous que les rôles par défaut sont autorisés à utiliser la KMS clé nécessaire pour effectuer le chiffrement dans la région de destination.

  • Si vous activez la copie interrégionale pour les instantanés chiffrés ou AMIs sauvegardés par des instantanés chiffrés, assurez-vous que les rôles par défaut sont autorisés à utiliser à la fois les clés source et de destinationKMS.

  • Si vous activez l'archivage des instantanés chiffrés, assurez-vous que le rôle par défaut d'Amazon Data Lifecycle Manager (AWSDataLifecycleManagerDefaultRoleest autorisé à utiliser la KMS clé utilisée pour chiffrer l'instantané).

Pour plus d'informations, voir Autoriser les utilisateurs d'autres comptes à utiliser une KMS clé dans le Guide du AWS Key Management Service développeur.

Pour plus d'informations, consultez la section Modification des autorisations d'un utilisateur dans le Guide de IAM l'utilisateur.