Controlla l'accesso ad Amazon Data Lifecycle Manager utilizzando IAM - Amazon EBS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlla l'accesso ad Amazon Data Lifecycle Manager utilizzando IAM

L'accesso ad Amazon Data Lifecycle Manager richiede le apposite credenziali. Tali credenziali devono disporre delle autorizzazioni per accedere a AWS risorse, come istanze, volumi, istantanee e. AMIs

Le seguenti IAM autorizzazioni sono necessarie per utilizzare Amazon Data Lifecycle Manager.

Nota

  • Le autorizzazioni ec2:DescribeAvailabilityZones, ec2:DescribeRegions, kms:ListAliases e kms:DescribeKey sono richieste solo per gli utenti della console. Se l'accesso alla console non è richiesto, puoi rimuovere le autorizzazioni.

  • Il ARN formato del AWSDataLifecycleManagerDefaultRoleruolo varia a seconda che sia stato creato utilizzando la console o il. AWS CLI Se il ruolo è stato creato utilizzando la console, il ARN formato èarn:aws:iam::account_id:role/service-role/AWSDataLifecycleManagerDefaultRole. Se il ruolo è stato creato utilizzando il AWS CLI, il ARN formato èarn:aws:iam::account_id:role/AWSDataLifecycleManagerDefaultRole.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "dlm:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::accound_id:role/AWSDataLifecycleManagerDefaultRole",
                "arn:aws:iam::accound_id:role/AWSDataLifecycleManagerDefaultRoleForAMIManagement",
			    "arn:aws:iam::accound_id:role/service-role/AWSDataLifecycleManagerDefaultRole",
                "arn:aws:iam::accound_id:role/service-role/AWSDataLifecycleManagerDefaultRoleForAMIManagement"
                ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeRegions",
                "kms:ListAliases",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}
Autorizzazioni per la crittografia

Quando lavori con Amazon Data Lifecycle Manager e risorse crittografate, considera quanto segue.

  • Se il volume di origine è crittografato, assicurati che i ruoli predefiniti di Amazon Data Lifecycle Manager (AWSDataLifecycleManagerDefaultRolee AWSDataLifecycleManagerDefaultRoleForAMIManagement) siano autorizzati a utilizzare KMS le chiavi utilizzate per crittografare il volume.

  • Se abiliti la copia interregionale per istantanee non crittografate o AMIs supportate da istantanee non crittografate e scegli di abilitare la crittografia nella regione di destinazione, assicurati che i ruoli predefiniti siano autorizzati a utilizzare la KMS chiave necessaria per eseguire la crittografia nella regione di destinazione.

  • Se abiliti la copia interregionale per le istantanee crittografate o AMIs supportata da istantanee crittografate, assicurati che i ruoli predefiniti siano autorizzati a utilizzare sia la chiave di origine che quella di destinazione. KMS

  • Se abiliti l'archiviazione degli snapshot per gli snapshot crittografati, assicurati che il AWSDataLifecycleManagerDefaultRoleruolo predefinito di Amazon Data Lifecycle Manager (sia autorizzato a KMS utilizzare la chiave utilizzata per crittografare lo snapshot).

Per ulteriori informazioni, consulta Consentire agli utenti di altri account di utilizzare una chiave nella Guida per gli sviluppatori. KMS AWS Key Management Service

Per ulteriori informazioni, consulta Modifica delle autorizzazioni per un utente nella Guida per l'IAMutente.