Utilizza una policy gestita da IAM per concedere le autorizzazioni per gli snapshot basati su VSS - Amazon Elastic Compute Cloud
Policy gestita da snapshot VSSCollega la policy VSS

Utilizza una policy gestita da IAM per concedere le autorizzazioni per gli snapshot basati su VSS

La policy gestita AWSEC2VssSnapshotPolicy consente a Systems Manager di eseguire le seguenti azioni sull'istanza di Windows:

  • Crea e applica tag agli snapshot EBS

  • Crea e applica tag alle Amazon Machine Image (AMI)

  • collega metadati, come ad esempio l'ID dispositivo, ai tag degli snapshot predefiniti creati da VSS.

In questo argomento vengono illustrati i dettagli delle autorizzazioni per la policy gestita da VSS e come collegarla al ruolo IAM del profilo dell'istanza EC2.

AWSEC2VssSnapshotPolicy dettagli della politica gestita

Una policy gestita da AWS è una policy autonoma che Amazon fornisce ai clienti AWS. Le policy gestite da AWS concedono autorizzazioni per casi di utilizzo comuni. Non è possibile modificare le autorizzazioni definite nelle policy gestite da AWS. Tuttavia, è possibile copiare la policy e utilizzarla come base per una policy gestita dal cliente per il caso d'uso specifico.

Per ulteriori informazioni sulle policy gestite da AWS, consulta Policy gestite da AWS nella Guida per l'utente di IAM.

Per utilizzare la policy gestita da AWSEC2VssSnapshotPolicy, puoi collegarla al ruolo IAM associato alle istanze Windows EC2. Questa policy consente alla soluzione VSS EC2 di creare e aggiungere tag ad Amazon Machine Images (AMI) e agli snapshot EBS. Per collegare la policy, consultare Collega la policy gestita degli snapshot VSS al ruolo del profilo dell'istanza.

Autorizzazioni concesse da AWSEC2VssSnapshotPolicy

La policy AWSEC2VssSnapshotPolicy include le seguenti autorizzazioni Amazon EC2 per consentire ad Amazon EC2 di creare e gestire snapshot VSS per tuo conto. Puoi collegare questa policy gestita al ruolo del profilo dell'istanza IAM che usi per le istanze EC2 Windows.

  • EC2:CreateTags: aggiunge tag agli snapshot EBS e AMI per identificare e classificare le risorse.

  • EC2:DescribeInstanceAttribute: recupera i volumi EBS e le corrispondenti mappature dei dispositivi a blocchi collegati all'istanza di destinazione.

  • EC2:CreateSnapshots: crea snapshot dei volumi EBS.

  • EC2:CreateImage: crea un'AMI da un'istanza EC2 in esecuzione.

  • EC2:DescribeImages: recupera le informazioni per le AMI e gli snapshot EC2.

  • EC2:DescribeSnapshots: determina l'ora e lo stato di creazione degli snapshot per verificare la coerenza dell'applicazione.

Nota

Per vedere le autorizzazioni per questa policy, consulta AWSEC2VssSnapshotPolicy nella Guida di riferimento sulle policy gestite da AWS.

Semplifica le autorizzazioni per casi d'uso specifici: avanzate

La policy gestita AWSEC2VssSnapshotPolicy include le autorizzazioni per tutti i modi in cui è possibile creare snapshot basati su VSS. È possibile creare una policy personalizzata che include solo le autorizzazioni necessarie.

Caso d'uso: creazione di AMI, caso d'uso: utilizzo del servizio AWS Backup

Se si utilizza esclusivamente l'opzione CreateAmi o se si creano snapshot basati su VSS solo tramite il servizio AWS Backup, è possibile semplificare le istruzioni come segue.

  • Ometti le istruzioni identificate dai seguenti ID (SID):

    • CreateSnapshotsWithTag

    • CreateSnapshotsAccessInstance

    • CreateSnapshotsAccessVolume

  • Modifica l'istruzione CreateTagsOnResourceCreation come segue:

    • Rimuovi arn:aws:ec2:*:*:snapshot/* dalle risorse.

    • Rimuovi CreateSnapshots dalla condizione ec2:CreateAction.

  • Modifica l'istruzione CreateTagsAfterResourceCreation per rimuovere arn:aws:ec2:*:*:snapshot/* dalle risorse.

  • Modifica l'istruzione DescribeImagesAndSnapshots per rimuovere ec2:DescribeSnapshots dall'azione presente nell'istruzione.

Caso d'uso: solo snapshot

Se non si utilizza l'opzione CreateAmi, è possibile semplificare le istruzioni della policy come segue.

  • Ometti le istruzioni identificate dai seguenti ID (SID):

    • CreateImageAccessInstance

    • CreateImageWithTag

  • Modifica l'istruzione CreateTagsOnResourceCreation come segue:

    • Rimuovi arn:aws:ec2:*:*:image/* dalle risorse.

    • Rimuovi CreateImage dalla condizione ec2:CreateAction.

  • Modifica l'istruzione CreateTagsAfterResourceCreation per rimuovere arn:aws:ec2:*:*:image/* dalle risorse.

  • Modifica l'istruzione DescribeImagesAndSnapshots per rimuovere ec2:DescribeImages dall'azione presente nell'istruzione.

Nota

Per garantire che la policy personalizzata funzioni come previsto, si consiglia di rivedere e incorporare regolarmente gli aggiornamenti alla policy gestita.

Collega la policy gestita degli snapshot VSS al ruolo del profilo dell'istanza

Per concedere le autorizzazioni per gli snapshot basati su VSS per l'istanza EC2 Windows, puoi collegare la policy gestita da AWSEC2VssSnapshotPolicy al ruolo del profilo dell'istanza come segue. È importante assicurarsi che l'istanza soddisfi tutti i Requisiti di sistema.

Nota

Per utilizzare la policy gestita, sull'istanza deve essere installata la versione 2.3.1 o successiva del pacchetto AwsVssComponents. Per la cronologia delle versioni, consulta Versioni del pacchetto AwsVssComponents.

  1. Apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, scegli Ruoli per visualizzare un elenco di ruoli IAM a cui hai accesso.

  3. Seleziona il link al Nome ruolo associato all'istanza. Si apre la pagina dei dettagli del ruolo.

  4. Per collegare la policy gestita, scegli Aggiungi autorizzazioni, che si trova nell'angolo in alto a destra del pannello dell'elenco. Quindi dall'elenco a discesa seleziona Collega policy.

  5. Per semplificare i risultati, inserisci il nome della policy nella barra di ricerca (AWSEC2VssSnapshotPolicy).

  6. Seleziona la casella di controllo accanto al nome della policy da collegare, quindi scegli Aggiungi autorizzazioni.