Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Kontrol akses ke Amazon Data Lifecycle Manager menggunakan IAM Akses ke Amazon Data Lifecycle Manager memerlukan krekredensial. Kredensil tersebut harus memiliki izin untuk mengakses AWS sumber daya, seperti instance, volume, snapshot, dan file. AMIs Izin IAM berikut diperlukan untuk menggunakan Amazon Data Lifecycle Manager. **catatan** Izin `ec2:DescribeAvailabilityZones`, `ec2:DescribeRegions`, `kms:ListAliases`, dan `kms:DescribeKey` diperlukan hanya untuk pengguna konsol. Jika akses konsol tidak diperlukan, Anda dapat menghapus izin. Format ARN *AWSDataLifecycleManagerDefaultRole*peran berbeda tergantung pada apakah itu dibuat menggunakan konsol atau. AWS CLI Jika peran dibuat menggunakan konsol, format ARN adalah `arn:aws:iam::account_id:role/service-role/AWSDataLifecycleManagerDefaultRole`. Jika peran dibuat menggunakan AWS CLI, format ARN adalah. `arn:aws:iam::account_id:role/AWSDataLifecycleManagerDefaultRole` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "dlm:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::111122223333:role/AWSDataLifecycleManagerDefaultRole", "arn:aws:iam::111122223333:role/AWSDataLifecycleManagerDefaultRoleForAMIManagement", "arn:aws:iam::111122223333:role/service-role/AWSDataLifecycleManagerDefaultRole", "arn:aws:iam::111122223333:role/service-role/AWSDataLifecycleManagerDefaultRoleForAMIManagement" ] }, { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeAvailabilityZones", "ec2:DescribeRegions", "kms:ListAliases", "kms:DescribeKey" ], "Resource": "*" } ] } ``` ------ **Izin untuk enkripsi** Pertimbangkan hal berikut saat bekerja dengan Amazon Data Lifecycle Manager dan sumber daya terenkripsi. + Jika volume sumber dienkripsi, pastikan bahwa **AWSDataLifecycleManagerDefaultRole**peran default Amazon Data Lifecycle Manager **AWSDataLifecycleManagerDefaultRoleForAMIManagement**(dan) memiliki izin untuk menggunakan kunci KMS yang digunakan untuk mengenkripsi volume. + Jika Anda mengaktifkan **salinan Lintas Wilayah** untuk snapshot yang tidak terenkripsi atau AMIs didukung oleh snapshot yang tidak terenkripsi, dan memilih untuk mengaktifkan enkripsi di Wilayah tujuan, pastikan bahwa peran default memiliki izin untuk menggunakan kunci KMS yang diperlukan untuk melakukan enkripsi di Wilayah tujuan. + Jika Anda mengaktifkan **salinan Lintas Wilayah** untuk snapshot terenkripsi atau AMIs didukung oleh snapshot terenkripsi, pastikan bahwa peran default memiliki izin untuk menggunakan kunci KMS sumber dan tujuan. + Jika Anda mengaktifkan pengarsipan snapshot untuk snapshot terenkripsi, pastikan peran default Amazon Data Lifecycle Manager **AWSDataLifecycleManagerDefaultRole**(memiliki izin untuk menggunakan kunci KMS yang digunakan untuk mengenkripsi snapshot. Untuk informasi selengkapnya, lihat [Mengizinkan pengguna di akun lain untuk menggunakan kunci KMS](https://docs.aws.amazon.com//kms/latest/developerguide/key-policy-modifying-external-accounts.html) di *Panduan Developer AWS Key Management Service *. Untuk informasi selengkapnya, lihat [Mengubah izin untuk pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) pada *Panduan Pengguna IAM*.