Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Ruoli del servizio IAM per Amazon Data Lifecycle Manager
Un ruolo AWS Identity and Access Management (IAM) è simile a quello di un utente, in quanto è un' AWS identità con politiche di autorizzazione che determinano ciò che l'identità può e non può fare. AWS Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque. Un ruolo di servizio è un ruolo che un AWS servizio assume per eseguire azioni per conto dell'utente. In quanto servizio che esegue le operazioni di backup per tuo conto, Amazon Data Lifecycle Manager richiede che tu fornisca un ruolo da assumere durante l'esecuzione di operazioni di policy per tuo conto. Per ulteriori informazioni sui ruoli IAM, consulta Ruoli IAM nella Guida per l'utente di IAM.
Il ruolo che passi ad Amazon Data Lifecycle Manager deve disporre di una policy IAM con le autorizzazioni che consentano ad Amazon Data Lifecycle Manager di eseguire azioni associate alle operazioni relative alle policy, come la creazione di snapshot, la copia di snapshot, l'eliminazione di snapshot AMIs e l'annullamento della registrazione. AMIs AMIs Sono necessarie autorizzazioni diverse per ciascuno dei tipi di policy di Amazon Data Lifecycle Manager. È inoltre necessario che Amazon Data Lifecycle Manager sia presente nell'elenco delle entità attendibili per il ruolo, permettendo quindi ad Amazon Data Lifecycle Manager di assumere quel ruolo.
Argomenti
Ruoli di servizio predefiniti per Amazon Data Lifecycle Manager
Amazon Data Lifecycle Manager utilizza i seguenti ruoli di servizio predefiniti:
-
AWSDataLifecycleManagerDefaultRole—ruolo predefinito per la gestione degli snapshot. Considera attendibile per assumere il ruolo solo il servizio
dlm.amazonaws.com.rproxy.goskope.come consente ad Amazon Data Lifecycle Manager di eseguire le operazioni richieste dalle policy di copia di snapshot e snapshot tra account per tuo conto. Questo ruolo utilizza la policyAWSDataLifecycleManagerServiceRoleAWS gestita.Nota
Il formato ARN del ruolo varia a seconda che sia stato creato utilizzando la console o la AWS CLI. Se il ruolo è stato creato utilizzando la console, il formato ARN è
arn:aws:iam::. Se il ruolo è stato creato utilizzando il AWS CLI, il formato ARN è.account_id:role/service-role/AWSDataLifecycleManagerDefaultRolearn:aws:iam::account_id:role/AWSDataLifecycleManagerDefaultRole -
AWSDataLifecycleManagerDefaultRoleForAMIManagement—ruolo predefinito per la gestione. AMIs Considera attendibile per assumere il ruolo solo il servizio
dlm.amazonaws.com.rproxy.goskope.come consente ad Amazon Data Lifecycle Manager di eseguire le operazioni richieste dalle policy AMI EBS-backed per tuo conto. Questo ruolo utilizza la politicaAWSDataLifecycleManagerServiceRoleForAMIManagementAWS gestita.
Se utilizzi la console Amazon Data Lifecycle Manager, Amazon Data Lifecycle Manager AWSDataLifecycleManagerDefaultRolecrea automaticamente il ruolo di servizio la prima volta che crei uno snapshot o una policy di copia degli snapshot tra account e AWSDataLifecycleManagerDefaultRoleForAMIManagementcrea automaticamente il ruolo di servizio la prima volta che crei una policy AMI supportata da EBS.
Se non utilizzi la console, puoi creare manualmente i ruoli di servizio utilizzando il comando. create-default-role--resource-type, specifica snapshot di creare AWSData LifecycleManagerDefaultRole o image creare AWSData LifecycleManagerDefaultRoleForAMIManagement.
$aws dlm create-default-role --resource-typesnapshot|image
Se elimini i ruoli di servizio predefiniti e quindi devi crearli di nuovo, puoi utilizzare lo stesso processo per ricreare i ruoli nel tuo account.
Ruoli di servizio personalizzati per Amazon Data Lifecycle Manager
In alternativa all'utilizzo di ruoli di servizio predefiniti, puoi creare ruoli IAM personalizzati con le autorizzazioni necessarie e selezionarli durante la creazione della policy del ciclo di vita.
Per creare un ruolo IAM personalizzato
-
Creare ruoli con le seguenti autorizzazioni.
-
Autorizzazioni necessarie per la gestione delle policy del ciclo di vita degli snapshot
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateSnapshot", "ec2:CreateSnapshots", "ec2:DeleteSnapshot", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ec2:DescribeSnapshots", "ec2:EnableFastSnapshotRestores", "ec2:DescribeFastSnapshotRestores", "ec2:DisableFastSnapshotRestores", "ec2:CopySnapshot", "ec2:ModifySnapshotAttribute", "ec2:DescribeSnapshotAttribute", "ec2:ModifySnapshotTier", "ec2:DescribeSnapshotTierStatus", "ec2:DescribeAvailabilityZones" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*::snapshot/*" }, { "Effect": "Allow", "Action": [ "events:PutRule", "events:DeleteRule", "events:DescribeRule", "events:EnableRule", "events:DisableRule", "events:ListTargetsByRule", "events:PutTargets", "events:RemoveTargets" ], "Resource": "arn:aws:events:*:*:rule/AwsDataLifecycleRule.managed-cwe.*" }, { "Effect": "Allow", "Action": [ "ssm:GetCommandInvocation", "ssm:ListCommands", "ssm:DescribeInstanceInformation" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:SendCommand", "ssm:DescribeDocument", "ssm:GetDocument" ], "Resource": [ "arn:aws:ssm:*:*:document/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/DLMScriptsAccess": "true" } } }, { "Effect": "Allow", "Action": [ "ssm:SendCommand", "ssm:DescribeDocument", "ssm:GetDocument" ], "Resource": [ "arn:aws:ssm:*::document/*" ] }, { "Effect": "Allow", "Action": [ "ssm:SendCommand" ], "Resource": [ "arn:aws:ec2:*:*:instance/*" ], "Condition": { "StringNotLike": { "aws:ResourceTag/DLMScriptsAccess": "false" } } } ] } -
Autorizzazioni necessarie per la gestione delle policy del ciclo di vita delle AMI
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": [ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*::image/*" ] }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeImageAttribute", "ec2:DescribeVolumes", "ec2:DescribeSnapshots" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:DeleteSnapshot", "Resource": "arn:aws:ec2:*::snapshot/*" }, { "Effect": "Allow", "Action": [ "ec2:ResetImageAttribute", "ec2:DeregisterImage", "ec2:CreateImage", "ec2:CopyImage", "ec2:ModifyImageAttribute" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:EnableImageDeprecation", "ec2:DisableImageDeprecation" ], "Resource": "arn:aws:ec2:*::image/*" } ] }
Per ulteriori informazioni, consulta la pagina relativa alla creazione di un ruolo nella Guida per l'utente di IAM.
-
-
Aggiungere una relazione di trust ai ruoli.
-
Nella console IAM, scegliere Roles (Ruoli).
-
Seleziona i ruoli appena creati e quindi scegli Trust relationships (Relazioni di affidabilità).
-
Selezionare Edit Trust Relationship (Modifica relazione di trust), aggiungere la seguente policy e quindi scegliere Update Trust Policy (Aggiorna policy di trust).
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "dlm.amazonaws.com" }, "Action": "sts:AssumeRole" }] }Si consiglia di utilizzare il le chiavi di condizione
aws:SourceAccounteaws:SourceArnper proteggersi dal problema del "confused deputy". Ad esempio, è possibile aggiungere il seguente blocco di condizione alla policy di attendibilità precedente.aws:SourceAccountè il proprietario della policy del ciclo di vita eaws:SourceArnè l'ARN della policy del ciclo di vita. Se non si conosce l'ID policy del ciclo di vita, è possibile sostituire quella parte dell'ARN con un carattere jolly (*) e quindi aggiornare la policy di attendibilità dopo aver creato la policy del ciclo di vita."Condition": { "StringEquals": { "aws:SourceAccount": "account_id" }, "ArnLike": { "aws:SourceArn": "arn:partition:dlm:region:account_id:policy/policy_id" } }
-
