AWS kebijakan terkelola untuk Amazon Data Lifecycle Manager - Amazon EBS
AWSDataLifecycleManagerServiceRoleAWSDataLifecycleManagerServiceRoleForAMIManagementAWSDataLifecycleManagerSSMFullAccessAWS pembaruan kebijakan terkelola

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS kebijakan terkelola untuk Amazon Data Lifecycle Manager

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS kebijakan terkelola dirancang untuk memberikan izin untuk banyak kasus penggunaan umum. AWS Kebijakan terkelola membuatnya lebih efisien bagi Anda untuk menetapkan izin yang sesuai kepada pengguna, grup, dan peran, daripada jika Anda harus menulis kebijakan sendiri.

Namun, Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. AWS sesekali memperbarui izin yang ditentukan dalam kebijakan AWS terkelola. Ketika ini terjadi, pembaruan memengaruhi semua entitas pengguna utama (pengguna, grup, dan peran) yang terkait dengan kebijakan tersebut.

Amazon Data Lifecycle Manager menyediakan kebijakan AWS terkelola untuk kasus penggunaan umum. Kebijakan ini membuatnya lebih efisien untuk menentukan izin yang sesuai dan mengontrol akses ke sumber daya Anda. Kebijakan AWS terkelola yang disediakan oleh Amazon Data Lifecycle Manager dirancang untuk dilampirkan ke peran yang diteruskan ke Amazon Data Lifecycle Manager.

AWSDataLifecycleManagerServiceRole

AWSDataLifecycleManagerServiceRoleKebijakan ini memberikan izin yang sesuai kepada Amazon Data Lifecycle Manager untuk membuat dan mengelola kebijakan snapshot EBS Amazon dan kebijakan peristiwa penyalinan lintas akun.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateSnapshot",
                "ec2:CreateSnapshots",
                "ec2:DeleteSnapshot",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ec2:DescribeSnapshots",
                "ec2:EnableFastSnapshotRestores",
                "ec2:DescribeFastSnapshotRestores",
                "ec2:DisableFastSnapshotRestores",
                "ec2:CopySnapshot",
                "ec2:ModifySnapshotAttribute",
                "ec2:DescribeSnapshotAttribute",
                "ec2:ModifySnapshotTier",
                "ec2:DescribeSnapshotTierStatus",
                "ec2:DescribeAvailabilityZones"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "events:PutRule",
                "events:DeleteRule",
                "events:DescribeRule",
                "events:EnableRule",
                "events:DisableRule",
                "events:ListTargetsByRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
            "Resource": "arn:aws:events:*:*:rule/AwsDataLifecycleRule.managed-cwe.*"
        }
    ]
}

AWSDataLifecycleManagerServiceRoleForAMIManagement

AWSDataLifecycleManagerServiceRoleForAMIManagementKebijakan ini memberikan izin yang sesuai kepada Amazon Data Lifecycle Manager untuk membuat dan mengelola kebijakan yang didukung Amazon. EBS AMI

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": [
                "arn:aws:ec2:*::snapshot/*",
                "arn:aws:ec2:*::image/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages",
                "ec2:DescribeInstances",
                "ec2:DescribeImageAttribute",
                "ec2:DescribeVolumes",
                "ec2:DescribeSnapshots"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteSnapshot",
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ResetImageAttribute",
                "ec2:DeregisterImage",
                "ec2:CreateImage",
                "ec2:CopyImage",
                "ec2:ModifyImageAttribute"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:EnableImageDeprecation",
                "ec2:DisableImageDeprecation"
            ],
            "Resource": "arn:aws:ec2:*::image/*"
        }
    ]
}

AWSDataLifecycleManagerSSMFullAccess

Memberikan izin Amazon Data Lifecycle Manager untuk melakukan tindakan Systems Manager yang diperlukan untuk menjalankan skrip pra dan pasca di semua instans Amazon. EC2

penting

Kebijakan menggunakan kunci aws:ResourceTag kondisi untuk membatasi akses ke SSM dokumen tertentu saat menggunakan skrip pra dan pasca. Untuk mengizinkan Amazon Data Lifecycle Manager mengakses SSM dokumen, Anda harus memastikan bahwa SSM dokumen Anda ditandai. DLMScriptsAccess:true 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSSMReadOnlyAccess",
            "Effect": "Allow",
            "Action": [
                "ssm:GetCommandInvocation",
                "ssm:ListCommands",
                "ssm:DescribeInstanceInformation"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowTaggedSSMDocumentsOnly",
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand",
                "ssm:DescribeDocument",
                "ssm:GetDocument"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:document/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/DLMScriptsAccess": "true"
                }
            }
        },
        {
            "Sid": "AllowSpecificAWSOwnedSSMDocuments",
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand",
                "ssm:DescribeDocument",
                "ssm:GetDocument"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:document/AWSEC2-CreateVssSnapshot",
                "arn:aws:ssm:*:*:document/AWSSystemsManagerSAP-CreateDLMSnapshotForSAPHANA"
            ]
        },
        {
            "Sid": "AllowAllEC2Instances",
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*"
            ]
        }
    ]
}

AWS pembaruan kebijakan terkelola

AWS layanan memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang menambahkan izin tambahan ke kebijakan AWS terkelola untuk mendukung fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan AWS terkelola saat fitur baru diluncurkan atau saat operasi baru tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.

Tabel berikut memberikan detail tentang pembaruan kebijakan AWS terkelola untuk Amazon Data Lifecycle Manager sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan RSS feed di. Riwayat dokumen untuk Panduan EBS Pengguna Amazon

Perubahan Deskripsi Tanggal
AWSDataLifecycleManagerServiceRole— Memperbarui izin kebijakan. Amazon Data Lifecycle Manager menambahkan ec2:DescribeAvailabilityZones tindakan untuk memberikan izin kebijakan snapshot untuk mendapatkan informasi tentang Local Zones. Desember 16, 2024
AWSDataLifecycleManagerSSMFullAccess— Memperbarui izin kebijakan. Memperbarui kebijakan untuk mendukung snapshot yang konsisten dengan aplikasi untuk SAP HANA menggunakan dokumen. AWSSystemsManagerSAP-CreateDLMSnapshotForSAPHANA SSM 17 November 2023
AWSDataLifecycleManagerSSMFullAccess— Menambahkan kebijakan AWS terkelola baru. Amazon Data Lifecycle Manager menambahkan kebijakan terkelola. AWSDataLifecycleManagerSSMFullAccess AWS 7 November 2023
AWSDataLifecycleManagerServiceRole— Menambahkan izin untuk mendukung pengarsipan snapshot. Amazon Data Lifecycle Manager menambahkan tindakan ec2:ModifySnapshotTier dan ec2:DescribeSnapshotTierStatus untuk memberikan izin kebijakan snapshot untuk mengarsipkan snapshot dan untuk memeriksa status pengarsipan untuk snapshot. 30 September 2022
AWSDataLifecycleManagerServiceRoleForAMIManagement— Menambahkan izin untuk mendukung AMI penghentian. Amazon Data Lifecycle Manager menambahkan ec2:DisableImageDeprecation tindakan ec2:EnableImageDeprecation dan untuk memberikan izin AMI kebijakan yang EBS didukung untuk mengaktifkan dan menonaktifkan penghentian. AMI 23 Agustus 2021
Amazon Data Lifecycle Manager mulai melacak perubahan Amazon Data Lifecycle Manager mulai melacak perubahan untuk kebijakan yang dikelola. AWS 23 Agustus 2021