Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour AWS Elastic Disaster Recovery
AWS Elastic Disaster Recovery (préfixe de service :drs) fournit les ressources, actions et clés de contexte de condition spécifiques aux services suivantes à utiliser dans IAM les politiques d'autorisation.
Références :
-
Découvrez comment configurer ce service.
-
Consultez la liste des APIopérations disponibles pour ce service.
-
Découvrez comment sécuriser ce service et ses ressources à l'aide de politiques IAM d'autorisation.
Rubriques
Actions définies par AWS Elastic Disaster Recovery
Vous pouvez spécifier les actions suivantes dans l'Actionélément d'une déclaration de IAM politique. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'APIopération ou à la CLI commande portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez spécifier un type ARN de ressource de ce type dans une instruction comportant cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément d'une IAM politique, vous devez inclure un modèle ARN ou pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
| Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
|---|---|---|---|---|---|
| AssociateFailbackClientToRecoveryInstanceForDrs [autorisation uniquement] | Accorde l'autorisation d'obtenir le client de failback associé vers une instance de récupération | Écrire | |||
| AssociateSourceNetworkStack | Accorde l'autorisation d'associer une CloudFormation pile au réseau source | Écrire |
cloudformation:DescribeStackResource cloudformation:DescribeStacks drs:GetLaunchConfiguration ec2:CreateLaunchTemplateVersion ec2:DescribeLaunchTemplateVersions ec2:DescribeLaunchTemplates ec2:DescribeSecurityGroups ec2:DescribeSubnets ec2:DescribeVpcs ec2:ModifyLaunchTemplate |
||
| BatchCreateVolumeSnapshotGroupForDrs [autorisation uniquement] | Accorde l'autorisation de créer un groupe d'instantanés de volume par lots | Écrire | |||
| BatchDeleteSnapshotRequestForDrs [autorisation uniquement] | Accorde l'autorisation de supprimer par lot la demande d'instantané. | Écrire | |||
| CreateConvertedSnapshotForDrs [autorisation uniquement] | Accorde l'autorisation de créer un instantané converti | Écrire | |||
| CreateExtendedSourceServer | Accorde l'autorisation d'étendre un serveur source | Écrire |
drs:DescribeSourceServers drs:GetReplicationConfiguration |
||
| CreateLaunchConfigurationTemplate | Accorde l'autorisation de créer un modèle de configuration du lancement | Écrire | |||
| CreateRecoveryInstanceForDrs [autorisation uniquement] | Accorde l'autorisation de créer une instance de récupération | Écrire | |||
| CreateReplicationConfigurationTemplate | Accorde l'autorisation de créer un modèle de configuration de réplication. | Écrire |
ec2:CreateSecurityGroup ec2:DescribeSecurityGroups ec2:DescribeSubnets ec2:GetEbsDefaultKmsKeyId ec2:GetEbsEncryptionByDefault kms:CreateGrant kms:DescribeKey |
||
| CreateSourceNetwork | Accorde l'autorisation de créer un réseau source | Écrire |
ec2:DescribeInstances ec2:DescribeVpcs |
||
| CreateSourceServerForDrs [autorisation uniquement] | Accorde l'autorisation de créer un serveur source | Écrire | |||
| DeleteJob | Accorde l'autorisation de supprimer une tâche. | Écrire | |||
| DeleteLaunchAction | Accorde l'autorisation de supprimer une action de lancement | Écrire | |||
| DeleteLaunchConfigurationTemplate | Accorde l'autorisation de supprimer le modèle de configuration du lancement | Écrire | |||
| DeleteRecoveryInstance | Accorde l'autorisation de supprimer une instance de récupération | Écrire | |||
| DeleteReplicationConfigurationTemplate | Accorde l'autorisation de supprimer un modèle de configuration de réplication. | Écrire | |||
| DeleteSourceNetwork | Accorde l'autorisation de supprimer un réseau source | Écrire | |||
| DeleteSourceServer | Accorde l'autorisation de supprimer le serveur source. | Écriture | |||
| DescribeJobLogItems | Accorde l'autorisation de décrire les éléments du journal des tâches. | Lecture | |||
| DescribeJobs | Accorde l'autorisation de décrire les tâches. | Lecture | |||
| DescribeLaunchConfigurationTemplates | Accorde l'autorisation de décrire le modèle de configuration du lancement | Lecture | |||
| DescribeRecoveryInstances | Accorde l'autorisation de décrire les instances de récupération | Lecture |
drs:DescribeSourceServers ec2:DescribeInstances |
||
| DescribeRecoverySnapshots | Accorde l'autorisation de décrire les instantanés de récupération | Lecture | |||
| DescribeReplicationConfigurationTemplates | Accorde l'autorisation de décrire le modèle de configuration de réplication. | Lecture | |||
| DescribeReplicationServerAssociationsForDrs [autorisation uniquement] | Accorde l'autorisation de décrire les associations de serveur de réplication. | Lecture | |||
| DescribeSnapshotRequestsForDrs [autorisation uniquement] | Accorde l'autorisation de décrire les demandes d'instantanés. | Lecture | |||
| DescribeSourceNetworks | Accorde l'autorisation de décrire les réseaux source | Lecture | |||
| DescribeSourceServers | Accorde l'autorisation de décrire les serveurs source. | Lecture | |||
| DisconnectRecoveryInstance | Accorde l'autorisation de déconnecter l'instance de récupération | Écrire | |||
| DisconnectSourceServer | Accorde l'autorisation de déconnecter le serveur source | Écrire | |||
| ExportSourceNetworkCfnTemplate | Autorise l'exportation d' CloudFormation un modèle contenant des ressources du réseau source | Écrire |
s3:GetBucketLocation s3:GetObject s3:PutObject |
||
| GetAgentCommandForDrs [autorisation uniquement] | Accorde l'autorisation d'obtenir la commande de l'agent. | Lecture | |||
| GetAgentConfirmedResumeInfoForDrs [autorisation uniquement] | Accorde l'autorisation d'obtenir les informations de reprise confirmées par l'agent. | Lecture | |||
| GetAgentInstallationAssetsForDrs [autorisation uniquement] | Accorde l'autorisation d'obtenir les ressources d'installation de l'agent. | Lecture | |||
| GetAgentReplicationInfoForDrs [autorisation uniquement] | Accorde l'autorisation d'obtenir les informations de réplication de l'agent. | Lecture | |||
| GetAgentRuntimeConfigurationForDrs [autorisation uniquement] | Accorde l'autorisation d'obtenir la configuration d'exécution de l'agent. | Lecture | |||
| GetAgentSnapshotCreditsForDrs [autorisation uniquement] | Accorde l'autorisation d'obtenir des crédits d'instantanés de l'agent. | Lecture | |||
| GetChannelCommandsForDrs [autorisation uniquement] | Accorde l'autorisation d'obtenir des commandes de canal. | Lecture | |||
| GetFailbackCommandForDrs [autorisation uniquement] | Accorde l'autorisation d'obtenir la commande de failback | Lecture | |||
| GetFailbackLaunchRequestedForDrs [autorisation uniquement] | Accorde l'autorisation d'obtenir le lancement du failback demandé | Lecture | |||
| GetFailbackReplicationConfiguration | Accorde l'autorisation d'obtenir la configuration de réplication du failback | Lecture | |||
| GetLaunchConfiguration | Accorde l'autorisation d'obtenir la configuration de lancement. | Lecture | |||
| GetReplicationConfiguration | Accorde l'autorisation d'obtenir la configuration de réplication. | Lecture | |||
| GetSuggestedFailbackClientDeviceMappingForDrs [autorisation uniquement] | Accorde l'autorisation d'obtenir le mappage de l'appareil client du failback suggéré | Lecture | |||
| InitializeService | Accorde l'autorisation d'initialiser le service. | Écrire |
iam:AddRoleToInstanceProfile iam:CreateInstanceProfile iam:CreateServiceLinkedRole iam:GetInstanceProfile |
||
| IssueAgentCertificateForDrs [autorisation uniquement] | Accorde l'autorisation d'émettre un certificat d'agent | Écrire | |||
| ListExtensibleSourceServers | Accorde l'autorisation de répertorier les serveurs source extensibles | Lecture |
drs:DescribeSourceServers |
||
| ListLaunchActions | Accorde l'autorisation de répertorier les actions de lancement | Lecture | |||
| ListStagingAccounts | Accorde l'autorisation de répertorier les comptes de mise en attente | Lecture | |||
| ListTagsForResource | Accorde l'autorisation de répertorier les identifications d'une ressource | Lecture | |||
| NotifyAgentAuthenticationForDrs [autorisation uniquement] | Accorde l'autorisation de signaler l'authentification de l'agent. | Écriture | |||
| NotifyAgentConnectedForDrs [autorisation uniquement] | Accorde l'autorisation de signaler que l'agent est connecté. | Écriture | |||
| NotifyAgentDisconnectedForDrs [autorisation uniquement] | Accorde l'autorisation de signaler que l'agent est déconnecté. | Écriture | |||
| NotifyAgentReplicationProgressForDrs [autorisation uniquement] | Accorde l'autorisation de signaler la progression de la réplication de l'agent. | Écriture | |||
| NotifyConsistencyAttainedForDrs [autorisation uniquement] | Accorde l'autorisation de signaler que la cohérence est atteinte | Écrire | |||
| NotifyReplicationServerAuthenticationForDrs [autorisation uniquement] | Accorde l'autorisation de signaler l'authentification du serveur de réplication | Écrire | |||
| NotifyVolumeEventForDrs [autorisation uniquement] | Accorde l'autorisation de signaler des événements de volume de réplication | Écrire | |||
| PutLaunchAction | Accorde l'autorisation de placer une action de lancement | Écrire |
ssm:DescribeDocument |
||
| RetryDataReplication | Accorde l'autorisation de réessayer la réplication des données. | Écrire | |||
| ReverseReplication | Accorde l'autorisation d'inverser la réplication | Écrire |
drs:DescribeReplicationConfigurationTemplates drs:DescribeSourceServers ec2:DescribeInstances |
||
| SendAgentLogsForDrs [autorisation uniquement] | Accorde l'autorisation d'envoyer des journaux d'agent. | Écriture | |||
| SendAgentMetricsForDrs [autorisation uniquement] | Accorde l'autorisation d'envoyer des métriques d'agent. | Écriture | |||
| SendChannelCommandResultForDrs [autorisation uniquement] | Accorde l'autorisation d'envoyer le résultat de la commande de canal. | Écriture | |||
| SendClientLogsForDrs [autorisation uniquement] | Accorde l'autorisation d'envoyer des journaux client. | Écriture | |||
| SendClientMetricsForDrs [autorisation uniquement] | Accorde l'autorisation d'envoyer des métriques client. | Écrire | |||
| SendVolumeStatsForDrs [autorisation uniquement] | Accorde l'autorisation d'envoyer des statistiques sur le débit du volume | Écrire | |||
| StartFailbackLaunch | Accorde l'autorisation de démarrer le lancement du failback | Écrire | |||
| StartRecovery | Accorde l'autorisation de démarrer la récupération | Écrire |
drs:CreateRecoveryInstanceForDrs drs:ListTagsForResource ec2:AttachVolume ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateLaunchTemplate ec2:CreateLaunchTemplateVersion ec2:CreateSnapshot ec2:CreateTags ec2:CreateVolume ec2:DeleteLaunchTemplateVersions ec2:DeleteSnapshot ec2:DeleteVolume ec2:DescribeAccountAttributes ec2:DescribeAvailabilityZones ec2:DescribeImages ec2:DescribeInstanceAttribute ec2:DescribeInstanceStatus ec2:DescribeInstanceTypes ec2:DescribeInstances ec2:DescribeLaunchTemplateVersions ec2:DescribeLaunchTemplates ec2:DescribeSecurityGroups ec2:DescribeSnapshots ec2:DescribeSubnets ec2:DescribeVolumes ec2:DetachVolume ec2:ModifyInstanceAttribute ec2:ModifyLaunchTemplate ec2:RevokeSecurityGroupEgress ec2:RunInstances ec2:StartInstances ec2:StopInstances ec2:TerminateInstances iam:PassRole |
||
| StartReplication | Accorde l'autorisation de démarrer la réplication | Écrire | |||
| StartSourceNetworkRecovery | Accorde l'autorisation de démarrer la récupération du réseau | Écrire |
cloudformation:CreateStack cloudformation:DescribeStackResource cloudformation:DescribeStacks cloudformation:UpdateStack drs:GetLaunchConfiguration ec2:CreateLaunchTemplateVersion ec2:DescribeLaunchTemplateVersions ec2:DescribeLaunchTemplates ec2:DescribeSecurityGroups ec2:DescribeSubnets ec2:DescribeVpcs ec2:ModifyLaunchTemplate s3:GetObject s3:PutObject |
||
| StartSourceNetworkReplication | Accorde l'autorisation de démarrer la réplication du réseau | Écrire | |||
| StopFailback | Accorde l'autorisation d'arrêter le failback | Écrire | |||
| StopReplication | Accorde l'autorisation d'arrêter la réplication | Écrire | |||
| StopSourceNetworkReplication | Accorde l'autorisation d'arrêter la réplication du réseau | Écrire | |||
| TagResource | Accorde l'autorisation d'attribuer une balise de ressource. | Identification | |||
| TerminateRecoveryInstances | Accorde l'autorisation de terminer les instances de récupération | Écrire |
drs:DescribeSourceServers ec2:DeleteVolume ec2:DescribeInstances ec2:DescribeVolumes ec2:TerminateInstances |
||
| UntagResource | Accorde l'autorisation d'annuler le balisage d'une ressource | Balisage | |||
| UpdateAgentBacklogForDrs [autorisation uniquement] | Accorde l'autorisation de mettre à jour le backlog de l'agent. | Écriture | |||
| UpdateAgentConversionInfoForDrs [autorisation uniquement] | Accorde l'autorisation de mettre à jour les informations de conversion de l'agent. | Écriture | |||
| UpdateAgentReplicationInfoForDrs [autorisation uniquement] | Accorde l'autorisation de mettre à jour les informations de réplication de l'agent. | Écriture | |||
| UpdateAgentReplicationProcessStateForDrs [autorisation uniquement] | Accorde l'autorisation de mettre à jour l'état du processus de réplication de l'agent. | Écriture | |||
| UpdateAgentSourcePropertiesForDrs [autorisation uniquement] | Accorde l'autorisation de mettre à jour les propriétés sources de l'agent. | Écrire | |||
| UpdateFailbackClientDeviceMappingForDrs [autorisation uniquement] | Accorde l'autorisation de mettre à jour le mappage de l'appareil client du failback | Écrire | |||
| UpdateFailbackClientLastSeenForDrs [autorisation uniquement] | Accorde l'autorisation de mettre à jour le dernier client du failback vu | Écrire | |||
| UpdateFailbackReplicationConfiguration | Accorde l'autorisation de mettre à jour la configuration de réplication du failback | Écrire | |||
| UpdateLaunchConfiguration | Accorde l'autorisation de mettre à jour la configuration de lancement. | Écrire |
ec2:DescribeInstances |
||
| UpdateLaunchConfigurationTemplate | Accorde l'autorisation de mettre à jour la configuration de lancement. | Écrire | |||
| UpdateReplicationCertificateForDrs [autorisation uniquement] | Accorde l'autorisation de mettre à jour un certificat de réplication | Écrire | |||
| UpdateReplicationConfiguration | Accorde l'autorisation de mettre à jour la configuration de réplication. | Écriture |
ec2:CreateSecurityGroup ec2:DescribeSecurityGroups ec2:DescribeSubnets ec2:GetEbsDefaultKmsKeyId ec2:GetEbsEncryptionByDefault kms:CreateGrant kms:DescribeKey |
||
| UpdateReplicationConfigurationTemplate | Accorde l'autorisation de mettre à jour le modèle de configuration de réplication. | Écrire |
ec2:CreateSecurityGroup ec2:DescribeSecurityGroups ec2:DescribeSubnets ec2:GetEbsDefaultKmsKeyId ec2:GetEbsEncryptionByDefault kms:CreateGrant kms:DescribeKey |
Types de ressources définis par AWS Elastic Disaster Recovery
Les types de ressources suivants sont définis par ce service et peuvent être utilisés dans l'Resourceélément des déclarations de politique d'IAMautorisation. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
| Types de ressources | ARN | Clés de condition |
|---|---|---|
| JobResource |
arn:${Partition}:drs:${Region}:${Account}:job/${JobID}
|
|
| RecoveryInstanceResource |
arn:${Partition}:drs:${Region}:${Account}:recovery-instance/${RecoveryInstanceID}
|
|
| ReplicationConfigurationTemplateResource |
arn:${Partition}:drs:${Region}:${Account}:replication-configuration-template/${ReplicationConfigurationTemplateID}
|
|
| LaunchConfigurationTemplateResource |
arn:${Partition}:drs:${Region}:${Account}:launch-configuration-template/${LaunchConfigurationTemplateID}
|
|
| SourceServerResource |
arn:${Partition}:drs:${Region}:${Account}:source-server/${SourceServerID}
|
|
| SourceNetworkResource |
arn:${Partition}:drs:${Region}:${Account}:source-network/${SourceNetworkID}
|
Clés de condition pour AWS Elastic Disaster Recovery
AWS Elastic Disaster Recovery définit les clés de condition suivantes qui peuvent être utilisées dans l'Conditionélément d'une IAM politique. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
| Clés de condition | Description | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtre l'accès en fonction de la présence de paires clé-valeur d'identification dans la demande | Chaîne |
| aws:ResourceTag/${TagKey} | Filtre l'accès en fonction des paires clé-valeur d'identification attachées à la ressource. | Chaîne |
| aws:TagKeys | Filtre l'accès en fonction de la présence de clés d'identification dans la demande | ArrayOfString |
| drs:CreateAction | Filtre l'accès en fonction du nom d'une action créatrice de ressources API | Chaîne |
| drs:EC2InstanceARN | Filtre l'accès en fonction de l'EC2instance d'origine de la demande | ARN |
