Kontrol akses ke Amazon Data Lifecycle Manager menggunakan IAM - Amazon EBS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol akses ke Amazon Data Lifecycle Manager menggunakan IAM

Akses ke Amazon Data Lifecycle Manager memerlukan krekredensial. Kredensil tersebut harus memiliki izin untuk mengakses AWS sumber daya, seperti instance, volume, snapshot, dan file. AMIs

IAMIzin berikut diperlukan untuk menggunakan Amazon Data Lifecycle Manager.

catatan

  • Izin ec2:DescribeAvailabilityZones, ec2:DescribeRegions, kms:ListAliases, dan kms:DescribeKey diperlukan hanya untuk pengguna konsol. Jika akses konsol tidak diperlukan, Anda dapat menghapus izin.

  • ARNFormat AWSDataLifecycleManagerDefaultRoleperan berbeda tergantung pada apakah itu dibuat menggunakan konsol atau AWS CLI. Jika peran dibuat menggunakan konsol, ARN formatnya adalaharn:aws:iam::account_id:role/service-role/AWSDataLifecycleManagerDefaultRole. Jika peran dibuat menggunakan AWS CLI, ARN formatnya adalaharn:aws:iam::account_id:role/AWSDataLifecycleManagerDefaultRole.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "dlm:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::accound_id:role/AWSDataLifecycleManagerDefaultRole",
                "arn:aws:iam::accound_id:role/AWSDataLifecycleManagerDefaultRoleForAMIManagement",
			    "arn:aws:iam::accound_id:role/service-role/AWSDataLifecycleManagerDefaultRole",
                "arn:aws:iam::accound_id:role/service-role/AWSDataLifecycleManagerDefaultRoleForAMIManagement"
                ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeRegions",
                "kms:ListAliases",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}
Izin untuk enkripsi

Pertimbangkan hal berikut saat bekerja dengan Amazon Data Lifecycle Manager dan sumber daya terenkripsi.

  • Jika volume sumber dienkripsi, pastikan bahwa AWSDataLifecycleManagerDefaultRoleperan default Amazon Data Lifecycle Manager AWSDataLifecycleManagerDefaultRoleForAMIManagement(dan) memiliki izin untuk KMS menggunakan kunci yang digunakan untuk mengenkripsi volume.

  • Jika Anda mengaktifkan salinan Lintas Wilayah untuk snapshot yang tidak terenkripsi atau AMIs didukung oleh snapshot yang tidak terenkripsi, dan memilih untuk mengaktifkan enkripsi di Wilayah tujuan, pastikan bahwa peran default memiliki izin untuk menggunakan KMS kunci yang diperlukan untuk melakukan enkripsi di Wilayah tujuan.

  • Jika Anda mengaktifkan salinan Lintas Wilayah untuk snapshot terenkripsi atau AMIs didukung oleh snapshot terenkripsi, pastikan bahwa peran default memiliki izin untuk menggunakan kunci sumber dan tujuan. KMS

  • Jika Anda mengaktifkan pengarsipan snapshot untuk snapshot terenkripsi, pastikan peran default Amazon Data Lifecycle Manager AWSDataLifecycleManagerDefaultRole(memiliki izin untuk menggunakan kunci yang digunakan untuk mengenkripsi snapshot. KMS

Untuk informasi selengkapnya, lihat Mengizinkan pengguna di akun lain menggunakan KMS kunci di Panduan AWS Key Management Service Pengembang.

Untuk informasi selengkapnya, lihat Mengubah izin untuk pengguna di Panduan IAM Pengguna.