IAM 管理ポリシーを使用して VSS ベースのスナップショットに対するアクセス許可を付与する - Amazon Elastic Compute Cloud
VSS スナップショット管理ポリシーVSS ポリシーをアタッチする

IAM 管理ポリシーを使用して VSS ベースのスナップショットに対するアクセス許可を付与する

AWSEC2VssSnapshotPolicy 管理ポリシーを使用すると、Systems Manager が Windows インスタンスに対して以下のアクションを実行できるようになります。

  • EBS スナップショットを作成してタグ付けする

  • Amazon マシンイメージ (AMI) を作成してタグ付けする

  • VSS が作成するデフォルトのスナップショットタグに、デバイス ID などのメタデータをアタッチする

このトピックでは、VSS 管理ポリシーのアクセス許可の詳細と、それを EC2 インスタンスプロファイルの IAM ロールにアタッチする方法について説明します。

AWSEC2VssSnapshotPolicy 管理ポリシーの詳細

AWS マネージドポリシーは、Amazon が AWS に提供しているスタンドアロンのポリシーです。AWS マネージドポリシーは、一般的なユースケースでアクセス許可を付与できるように設計されています。AWS マネージドポリシーで定義したアクセス許可は変更できません。ただし、ポリシーをコピーして、ユースケースに固有のカスタマー管理ポリシーのベースラインとして使用することは可能です。

AWS マネージドポリシーの詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWSEC2VssSnapshotPolicy 管理ポリシーを使用するには、そのポリシーを、EC2 Windows インスタンスにアタッチされている IAM ロールにアタッチします。このポリシーにより、EC2 VSS ソリューションは、タグを作成してこれを Amazon マシンイメージ (AMI) と EBS スナップショットに追加できるようになります。ポリシーのアタッチ方法については「VSS スナップショット管理ポリシーをインスタンスプロファイルロールにアタッチする」を参照してください。

AWSEC2VssSnapshotPolicy によって付与されるアクセス許可

AWSEC2VssSnapshotPolicy ポリシーには、Amazon EC2 がユーザーに代わって VSS スナップショットを作成および管理できるようにするために、以下の Amazon EC2 アクセス許可が含まれます。この管理ポリシーを、EC2 Windows インスタンスに使用する IAM インスタンスプロファイルロールにアタッチできます。

  • ec2:CreateTags — リソースの識別と分類に役立つタグを EBS スナップショットと AMI に追加します。

  • ec2:DescribeInstanceAttribute — ターゲットインスタンスにアタッチされている EBS ボリュームと対応するブロックデバイスマッピングを取得します。

  • ec2:CreateSnapshots — EBS ボリュームのスナップショットを作成します。

  • ec2:CreateImage — 実行中の EC2 インスタンスから AMI を作成します。

  • ec2:DescribeImages — EC2 AMI とスナップショットの情報を取得します。

  • ec2:DescribeSnapshots — スナップショットの作成時刻とステータスを確認し、アプリケーションの一貫性を検証します。

注記

このポリシーのアクセス許可の詳細を確認するには、「AWS 管理ポリシーリファレンス」の「AWSEC2VssSnapshotPolicy」を参照してください。

特定のユースケース用にアクセス許可を合理化する - 上級

AWSEC2VssSnapshotPolicy 管理ポリシーには、VSS ベースのスナップショットを作成できるすべての方法に対応したアクセス許可が含まれています。必要なアクセス許可のみを含むカスタムポリシーを作成できます。

ユースケース: AMI の作成、ユースケース: AWS Backup サービスの使用

CreateAmi オプションを排他的に使用する場合、または AWS Backup サービスを通じてのみ VSS ベースのスナップショットを作成する場合は、次のようにポリシーステートメントを合理化できます。

  • 次のステートメント ID (SID) で識別されるポリシーステートメントは省略します。

    • CreateSnapshotsWithTag

    • CreateSnapshotsAccessInstance

    • CreateSnapshotsAccessVolume

  • CreateTagsOnResourceCreation ステートメントを以下のように調整します。

    • リソースから arn:aws:ec2:*:*:snapshot/* を削除します。

    • CreateSnapshotsec2:CreateAction 条件から削除します。

  • CreateTagsAfterResourceCreation ステートメントを調整し、リソースから arn:aws:ec2:*:*:snapshot/* を削除します。

  • DescribeImagesAndSnapshots ステートメントを調整し、ステートメントアクションから ec2:DescribeSnapshots を削除します。

ユースケース: スナップショットのみ

CreateAmi オプションを使用しない場合は、ポリシーステートメントを次のように合理化できます。

  • 次のステートメント ID (SID) で識別されるポリシーステートメントは省略します。

    • CreateImageAccessInstance

    • CreateImageWithTag

  • CreateTagsOnResourceCreation ステートメントを以下のように調整します。

    • リソースから arn:aws:ec2:*:*:image/* を削除します。

    • CreateImageec2:CreateAction 条件から削除します。

  • CreateTagsAfterResourceCreation ステートメントを調整し、リソースから arn:aws:ec2:*:*:image/* を削除します。

  • DescribeImagesAndSnapshots ステートメントを調整し、ステートメントアクションから ec2:DescribeImages を削除します。

注記

カスタマイズしたポリシーが想定どおりに機能するようにするため、定期的に管理ポリシーを検証して更新を組み込むことが推奨されます。

VSS スナップショット管理ポリシーをインスタンスプロファイルロールにアタッチする

EC2 Windows インスタンスの VSS ベースのスナップショットに対するアクセス許可を付与するには、次のように AWSEC2VssSnapshotPolicy 管理ポリシーをインスタンスプロファイルロールにアタッチします。インスタンスがすべての システム要件 を満たしていることを、確認することが重要です。

注記

管理ポリシーを使用するには、インスタンスに AwsVssComponents パッケージバージョン 2.3.1 以降がインストールされている必要があります。バージョン履歴については、「AwsVssComponents パッケージのバージョン」を参照してください。

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [ロール] を選択すると、アクセスできる IAM ロールのリストが表示されます。

  3. インスタンスにアタッチされているロールの [ロール名] リンクをクリックします。そのロールの詳細ページが開きます。

  4. 管理ポリシーをアタッチするには、リストパネルの右上にある [許可を追加] を選択します。ドロップダウンリストから [ポリシーをアタッチ] を選択します。

  5. 検索を効率化するには、検索バー (AWSEC2VssSnapshotPolicy) にポリシー名を入力します。

  6. アタッチするポリシーの名前の横にあるチェックボックスをオンにし、[アクセス許可を追加] を選択します。