IAMruoli di servizio per Amazon Data Lifecycle Manager - Amazon EBS
Ruoli di servizio predefiniti per Amazon Data Lifecycle ManagerRuoli di servizio personalizzati per Amazon Data Lifecycle Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

IAMruoli di servizio per Amazon Data Lifecycle Manager

Un ruolo AWS Identity and Access Management (IAM) è simile a quello di un utente, in quanto è un' AWS identità con politiche di autorizzazioni che determinano ciò che l'identità può e non può fare. AWS Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque. Un ruolo di servizio è un ruolo che un AWS servizio assume per eseguire azioni per conto dell'utente. In quanto servizio che esegue le operazioni di backup per tuo conto, Amazon Data Lifecycle Manager richiede che tu fornisca un ruolo da assumere durante l'esecuzione di operazioni di policy per tuo conto. Per ulteriori informazioni sui IAM ruoli, vedere IAMRuoli nella Guida per l'IAMutente.

Il ruolo che passi ad Amazon Data Lifecycle Manager deve avere una IAM policy con le autorizzazioni che consentano ad Amazon Data Lifecycle Manager di eseguire azioni associate alle operazioni relative alle policy, come la creazione di snapshot e la copia di snapshot, l'eliminazione di snapshot AMIs e l'annullamento della registrazione. AMIs AMIs Sono necessarie autorizzazioni diverse per ciascuno dei tipi di policy di Amazon Data Lifecycle Manager. È inoltre necessario che Amazon Data Lifecycle Manager sia presente nell'elenco delle entità attendibili per il ruolo, permettendo quindi ad Amazon Data Lifecycle Manager di assumere quel ruolo.

Ruoli di servizio predefiniti per Amazon Data Lifecycle Manager

Amazon Data Lifecycle Manager utilizza i seguenti ruoli di servizio predefiniti:

  • AWSDataLifecycleManagerDefaultRole—ruolo predefinito per la gestione delle istantanee. Considera attendibile per assumere il ruolo solo il servizio dlm.amazonaws.com e consente ad Amazon Data Lifecycle Manager di eseguire le operazioni richieste dalle policy di copia di snapshot e snapshot tra account per tuo conto. Questo ruolo utilizza la policy AWSDataLifecycleManagerServiceRole AWS gestita.

    Nota

    Il ARN formato del ruolo varia a seconda che sia stato creato utilizzando la console o il AWS CLI. Se il ruolo è stato creato utilizzando la console, il ARN formato èarn:aws:iam::account_id:role/service-role/AWSDataLifecycleManagerDefaultRole. Se il ruolo è stato creato utilizzando il AWS CLI, il ARN formato èarn:aws:iam::account_id:role/AWSDataLifecycleManagerDefaultRole.

  • AWSDataLifecycleManagerDefaultRoleForAMIManagement—ruolo predefinito per la gestioneAMIs. Si fida solo del dlm.amazonaws.com servizio per assumere il ruolo e consente ad Amazon Data Lifecycle Manager di eseguire le azioni richieste EBS dalle AMI politiche supportate per tuo conto. Questo ruolo utilizza la policy gestita. AWSDataLifecycleManagerServiceRoleForAMIManagement AWS

Se utilizzi la console Amazon Data Lifecycle Manager, Amazon Data Lifecycle Manager AWSDataLifecycleManagerDefaultRolecrea automaticamente il ruolo di servizio la prima volta che crei uno snapshot o una policy di copia degli snapshot tra account e AWSDataLifecycleManagerDefaultRoleForAMIManagementcrea automaticamente il ruolo di servizio la prima volta che crei una policy supportata. EBS AMI

Se non utilizzi la console, puoi creare manualmente i ruoli di servizio utilizzando il comando. create-default-role Per--resource-type, specifica snapshot di creare AWSDataLifecycleManagerDefaultRole o image creare AWSDataLifecycleManagerDefaultRoleForAMIManagement.

$ aws dlm create-default-role --resource-type snapshot|image

Se elimini i ruoli di servizio predefiniti e quindi devi crearli di nuovo, puoi utilizzare lo stesso processo per ricreare i ruoli nel tuo account.

Ruoli di servizio personalizzati per Amazon Data Lifecycle Manager

In alternativa all'utilizzo dei ruoli di servizio predefiniti, è possibile creare IAM ruoli personalizzati con le autorizzazioni richieste e quindi selezionarli quando si crea una politica del ciclo di vita.

Per creare un ruolo IAM personalizzato

  1. Creare ruoli con le seguenti autorizzazioni.

    • Autorizzazioni necessarie per la gestione delle policy del ciclo di vita degli snapshot

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateSnapshot",
                "ec2:CreateSnapshots",
                "ec2:DeleteSnapshot",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ec2:DescribeSnapshots",
                "ec2:EnableFastSnapshotRestores",
                "ec2:DescribeFastSnapshotRestores",
                "ec2:DisableFastSnapshotRestores",
                "ec2:CopySnapshot",
                "ec2:ModifySnapshotAttribute",
                "ec2:DescribeSnapshotAttribute",
                "ec2:ModifySnapshotTier",
                "ec2:DescribeSnapshotTierStatus"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "events:PutRule",
                "events:DeleteRule",
                "events:DescribeRule",
                "events:EnableRule",
                "events:DisableRule",
                "events:ListTargetsByRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
            "Resource": "arn:aws:events:*:*:rule/AwsDataLifecycleRule.managed-cwe.*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetCommandInvocation",
                "ssm:ListCommands",
                "ssm:DescribeInstanceInformation"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand",
                "ssm:DescribeDocument",
                "ssm:GetDocument"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:document/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/DLMScriptsAccess": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand",
                "ssm:DescribeDocument",
                "ssm:GetDocument"
            ],
            "Resource": [
                "arn:aws:ssm:*::document/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*"
            ],
            "Condition": {
                "StringNotLike": {
                    "aws:ResourceTag/DLMScriptsAccess": "false"
                }
            }
        }
    ]
}

    • Autorizzazioni necessarie per la gestione delle politiche del ciclo di vita AMI

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": [
                "arn:aws:ec2:*::snapshot/*",
                "arn:aws:ec2:*::image/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages",
                "ec2:DescribeInstances",
                "ec2:DescribeImageAttribute",
                "ec2:DescribeVolumes",
                "ec2:DescribeSnapshots"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteSnapshot",
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ResetImageAttribute",
                "ec2:DeregisterImage",
                "ec2:CreateImage",
                "ec2:CopyImage",
                "ec2:ModifyImageAttribute"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:EnableImageDeprecation",
                "ec2:DisableImageDeprecation"
            ],
            "Resource": "arn:aws:ec2:*::image/*"
        }
    ]
}

    Per ulteriori informazioni, vedere Creazione di un ruolo nella Guida per l'IAMutente.

  2. Aggiungere una relazione di trust ai ruoli.

    1. Nella console IAM, scegliere Roles (Ruoli).

    2. Seleziona i ruoli appena creati e quindi scegli Trust relationships (Relazioni di affidabilità).

    3. Selezionare Edit Trust Relationship (Modifica relazione di trust), aggiungere la seguente policy e quindi scegliere Update Trust Policy (Aggiorna policy di trust).

      {
	"Version": "2012-10-17",
	"Statement": [{
		"Effect": "Allow",
		"Principal": {
			"Service": "dlm.amazonaws.com"
		},
		"Action": "sts:AssumeRole"
	}]
}

      Si consiglia di utilizzare il le chiavi di condizione aws:SourceAccount e aws:SourceArn per proteggersi dal problema del "confused deputy". Ad esempio, è possibile aggiungere il seguente blocco di condizione alla policy di attendibilità precedente. aws:SourceAccountÈ il proprietario della politica del ciclo di vita e la aws:SourceArn è la politica del ciclo ARN di vita. Se non conosci l'ID della politica del ciclo di vita, puoi sostituire quella parte ARN con un carattere jolly (*) e quindi aggiornare la politica di attendibilità dopo aver creato la politica del ciclo di vita.

      "Condition": {
    "StringEquals": {
        "aws:SourceAccount": "account_id"
    },
    "ArnLike": {
        "aws:SourceArn": "arn:partition:dlm:region:account_id:policy/policy_id"
    }
}