Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS politiques gérées pour Amazon Data Lifecycle Manager
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants. AWS les politiques gérées vous permettent d'attribuer plus efficacement les autorisations appropriées aux utilisateurs, aux groupes et aux rôles que si vous deviez rédiger les politiques vous-même.
Toutefois, vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. AWS met à jour de temps en temps les autorisations définies dans une politique AWS gérée. Dans ce cas, la mise à jour affecte toutes les entités de principaux (utilisateurs, groupes et rôles) auxquelles la politique est attachée.
Amazon Data Lifecycle Manager fournit des politiques AWS gérées pour les cas d'utilisation courants. Ces politiques facilitent la définition des autorisations appropriées et le contrôle de l’accès à vos ressources. Les politiques AWS gérées fournies par Amazon Data Lifecycle Manager sont conçues pour être associées aux rôles que vous transmettez à Amazon Data Lifecycle Manager.
Rubriques
AWSDataLifecycleManagerServiceRole
La AWSDataLifecycleManagerServiceRolepolitique fournit les autorisations appropriées à Amazon Data Lifecycle Manager pour créer et gérer les politiques relatives aux EBS instantanés Amazon et les politiques relatives aux événements de copie entre comptes.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateSnapshot", "ec2:CreateSnapshots", "ec2:DeleteSnapshot", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ec2:DescribeSnapshots", "ec2:EnableFastSnapshotRestores", "ec2:DescribeFastSnapshotRestores", "ec2:DisableFastSnapshotRestores", "ec2:CopySnapshot", "ec2:ModifySnapshotAttribute", "ec2:DescribeSnapshotAttribute", "ec2:ModifySnapshotTier", "ec2:DescribeSnapshotTierStatus", "ec2:DescribeAvailabilityZones" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*::snapshot/*" }, { "Effect": "Allow", "Action": [ "events:PutRule", "events:DeleteRule", "events:DescribeRule", "events:EnableRule", "events:DisableRule", "events:ListTargetsByRule", "events:PutTargets", "events:RemoveTargets" ], "Resource": "arn:aws:events:*:*:rule/AwsDataLifecycleRule.managed-cwe.*" } ] }
AWSDataLifecycleManagerServiceRoleForAMIManagement
La AWSDataLifecycleManagerServiceRoleForAMIManagementpolitique fournit les autorisations appropriées à Amazon Data Lifecycle Manager pour créer et gérer des AMI politiques EBS soutenues par Amazon.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": [ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*::image/*" ] }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeImageAttribute", "ec2:DescribeVolumes", "ec2:DescribeSnapshots" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:DeleteSnapshot", "Resource": "arn:aws:ec2:*::snapshot/*" }, { "Effect": "Allow", "Action": [ "ec2:ResetImageAttribute", "ec2:DeregisterImage", "ec2:CreateImage", "ec2:CopyImage", "ec2:ModifyImageAttribute" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:EnableImageDeprecation", "ec2:DisableImageDeprecation" ], "Resource": "arn:aws:ec2:*::image/*" } ] }
AWSDataLifecycleManagerSSMFullAccess
Fournit à Amazon Data Lifecycle Manager l'autorisation d'effectuer les actions de Systems Manager requises pour exécuter des pré-scripts et des post-scripts sur toutes les EC2 instances Amazon.
Important
La politique utilise la clé de aws:ResourceTag condition pour restreindre l'accès à des SSM documents spécifiques lors de l'utilisation de scripts pré et post. Pour autoriser Amazon Data Lifecycle Manager à accéder aux SSM documents, vous devez vous assurer que vos SSM documents sont étiquetés avecDLMScriptsAccess:true.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSSMReadOnlyAccess", "Effect": "Allow", "Action": [ "ssm:GetCommandInvocation", "ssm:ListCommands", "ssm:DescribeInstanceInformation" ], "Resource": "*" }, { "Sid": "AllowTaggedSSMDocumentsOnly", "Effect": "Allow", "Action": [ "ssm:SendCommand", "ssm:DescribeDocument", "ssm:GetDocument" ], "Resource": [ "arn:aws:ssm:*:*:document/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/DLMScriptsAccess": "true" } } }, { "Sid": "AllowSpecificAWSOwnedSSMDocuments", "Effect": "Allow", "Action": [ "ssm:SendCommand", "ssm:DescribeDocument", "ssm:GetDocument" ], "Resource": [ "arn:aws:ssm:*:*:document/AWSEC2-CreateVssSnapshot", "arn:aws:ssm:*:*:document/AWSSystemsManagerSAP-CreateDLMSnapshotForSAPHANA" ] }, { "Sid": "AllowAllEC2Instances", "Effect": "Allow", "Action": [ "ssm:SendCommand" ], "Resource": [ "arn:aws:ec2:*:*:instance/*" ] } ] }
AWS mises à jour des politiques gérées
AWS les services maintiennent et mettent à jour les politiques AWS gérées. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Les services ajoutent parfois des autorisations supplémentaires à une politique AWS gérée pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont plus susceptibles de mettre à jour une politique AWS gérée lorsqu'une nouvelle fonctionnalité est lancée ou lorsque de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'une politique AWS gérée. Les mises à jour des politiques n'endommageront donc pas vos autorisations existantes.
Le tableau suivant fournit des informations sur les mises à jour des politiques AWS gérées pour Amazon Data Lifecycle Manager depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au RSS fil d'actualité sur leHistorique du document pour le guide de EBS l'utilisateur Amazon.
| Modification | Description | Date |
|---|---|---|
| AWSDataLifecycleManagerServiceRole— Mise à jour des autorisations de politique. | Amazon Data Lifecycle Manager a ajouté l'ec2:DescribeAvailabilityZonesaction permettant d'autoriser les politiques relatives aux instantanés à obtenir des informations sur les Zones Locales. |
16 décembre 2024 |
| AWSDataLifecycleManagerSSMFullAccess— Mise à jour des autorisations de politique. | Mise à jour de la politique afin de prendre en charge les instantanés cohérents avec les applications lors de SAP HANA l'utilisation du document. AWSSystemsManagerSAP-CreateDLMSnapshotForSAPHANA SSM |
17 novembre 2023 |
| AWSDataLifecycleManagerSSMFullAccess— Ajout d'une nouvelle politique AWS gérée. | Amazon Data Lifecycle Manager a ajouté la politique AWSDataLifecycleManagerSSMFullAccess AWS gérée. | 7 novembre 2023 |
| AWSDataLifecycleManagerServiceRole— Des autorisations ont été ajoutées pour prendre en charge l'archivage des instantanés. | Amazon Data Lifecycle Manager a ajouté les actions ec2:ModifySnapshotTier et ec2:DescribeSnapshotTierStatus visant à accorder aux politiques d’instantanés l’autorisation d’archiver des instantanés et de vérifier l’état d’archivage des instantanés. |
30 septembre 2022 |
| AWSDataLifecycleManagerServiceRoleForAMIManagement— Des autorisations ont été ajoutées pour prendre en charge la AMI dépréciation. | Amazon Data Lifecycle Manager a ajouté les ec2:DisableImageDeprecation actions ec2:EnableImageDeprecation et pour accorder aux AMI politiques EBS soutenues par des politiques l'autorisation d'activer et de désactiver la AMI dépréciation. |
23 août 2021 |
| Début du suivi des modifications par Amazon Data Lifecycle Manager | Amazon Data Lifecycle Manager a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 23 août 2021 |
