# IAM 管理ポリシーを使用して VSS ベースのスナップショットに対するアクセス許可を付与する
<a name="vss-iam-reqs"></a>

AWSEC2VssSnapshotPolicy 管理ポリシーを使用すると、Systems Manager が Windows インスタンスに対して以下のアクションを実行できるようになります。
+ EBS スナップショットを作成してタグ付けする
+ Amazon マシンイメージ (AMI) を作成してタグ付けする
+ VSS が作成するデフォルトのスナップショットタグに、デバイス ID などのメタデータをアタッチする

このトピックでは、VSS 管理ポリシーのアクセス許可の詳細と、それを EC2 インスタンスプロファイルの IAM ロールにアタッチする方法について説明します。

**Topics**
+ [AWSEC2VssSnapshotPolicy 管理ポリシーの詳細](#vss-iam-manpol-AWSEC2VssSnapshotPolicy)
+ [VSS スナップショット管理ポリシーをインスタンスプロファイルロールにアタッチする](#vss-snapshots-attach-policy)

## AWSEC2VssSnapshotPolicy 管理ポリシーの詳細
<a name="vss-iam-manpol-AWSEC2VssSnapshotPolicy"></a>

AWS マネージドポリシーは、Amazon が AWS に提供しているスタンドアロンのポリシーです。AWS マネージドポリシーは、一般的なユースケースでアクセス許可を付与できるように設計されています。AWS マネージドポリシーで定義したアクセス許可は変更できません。ただし、ポリシーをコピーして、ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)のベースラインとして使用することは可能です。

 AWS マネージドポリシーの詳細については「*IAM ユーザーガイド*」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。

**AWSEC2VssSnapshotPolicy** 管理ポリシーを使用するには、そのポリシーを、EC2 Windows インスタンスにアタッチされている IAM ロールにアタッチします。このポリシーにより、EC2 VSS ソリューションは、タグを作成してこれを Amazon マシンイメージ (AMI) と EBS スナップショットに追加できるようになります。ポリシーのアタッチ方法については「[VSS スナップショット管理ポリシーをインスタンスプロファイルロールにアタッチする](#vss-snapshots-attach-policy)」を参照してください。

### AWSEC2VssSnapshotPolicy によって付与されるアクセス許可
<a name="vss-iam-manpol-AWSEC2VssSnapshotPolicy-details"></a>

**AWSEC2VssSnapshotPolicy** ポリシーには、Amazon EC2 がユーザーに代わって VSS スナップショットを作成および管理できるようにするために、以下の Amazon EC2 アクセス許可が含まれます。この管理ポリシーを、EC2 Windows インスタンスに使用する IAM インスタンスプロファイルロールにアタッチできます。
+ **ec2:CreateTags** — リソースの識別と分類に役立つタグを EBS スナップショットと AMI に追加します。
+ **ec2:DescribeInstanceAttribute** — ターゲットインスタンスにアタッチされている EBS ボリュームと対応するブロックデバイスマッピングを取得します。
+ **ec2:CreateSnapshots** — EBS ボリュームのスナップショットを作成します。
+ **ec2:CreateImage** — 実行中の EC2 インスタンスから AMI を作成します。
+ **ec2:DescribeImages** — EC2 AMI とスナップショットの情報を取得します。
+ **ec2:DescribeSnapshots** — スナップショットの作成時刻とステータスを確認し、アプリケーションの一貫性を検証します。

**注記**  
このポリシーのアクセス許可の詳細を確認するには、「AWS 管理ポリシーリファレンス」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSEC2VssSnapshotPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSEC2VssSnapshotPolicy.html)」を参照してください。

### 特定のユースケース用にアクセス許可を合理化する - 上級
<a name="scope-down-perms"></a>

`AWSEC2VssSnapshotPolicy` 管理ポリシーには、VSS ベースのスナップショットを作成できるすべての方法に対応したアクセス許可が含まれています。必要なアクセス許可のみを含むカスタムポリシーを作成できます。

**ユースケース: AMI の作成、ユースケース: AWS Backup サービスの使用**

`CreateAmi` オプションを排他的に使用する場合、または AWS Backup サービスを通じてのみ VSS ベースのスナップショットを作成する場合は、次のようにポリシーステートメントを合理化できます。
+ 次のステートメント ID (SID) で識別されるポリシーステートメントは省略します。
  + `CreateSnapshotsWithTag`
  + `CreateSnapshotsAccessInstance`
  + `CreateSnapshotsAccessVolume`
+ `CreateTagsOnResourceCreation` ステートメントを以下のように調整します。
  + リソースから `arn:aws:ec2:*:*:snapshot/*` を削除します。
  + `CreateSnapshots` を `ec2:CreateAction` 条件から削除します。
+ `CreateTagsAfterResourceCreation` ステートメントを調整し、リソースから `arn:aws:ec2:*:*:snapshot/*` を削除します。
+ `DescribeImagesAndSnapshots` ステートメントを調整し、ステートメントアクションから `ec2:DescribeSnapshots` を削除します。

**ユースケース: スナップショットのみ**

`CreateAmi` オプションを使用しない場合は、ポリシーステートメントを次のように合理化できます。
+ 次のステートメント ID (SID) で識別されるポリシーステートメントは省略します。
  + `CreateImageAccessInstance`
  + `CreateImageWithTag`
+ `CreateTagsOnResourceCreation` ステートメントを以下のように調整します。
  + リソースから `arn:aws:ec2:*:*:image/*` を削除します。
  + `CreateImage` を `ec2:CreateAction` 条件から削除します。
+ `CreateTagsAfterResourceCreation` ステートメントを調整し、リソースから `arn:aws:ec2:*:*:image/*` を削除します。
+ `DescribeImagesAndSnapshots` ステートメントを調整し、ステートメントアクションから `ec2:DescribeImages` を削除します。

**注記**  
カスタマイズしたポリシーが想定どおりに機能するようにするため、定期的に管理ポリシーを検証して更新を組み込むことが推奨されます。

## VSS スナップショット管理ポリシーをインスタンスプロファイルロールにアタッチする
<a name="vss-snapshots-attach-policy"></a>

EC2 Windows インスタンスの VSS ベースのスナップショットに対するアクセス許可を付与するには、次のように **AWSEC2VssSnapshotPolicy** 管理ポリシーをインスタンスプロファイルロールにアタッチします。インスタンスがすべての [システム要件](application-consistent-snapshots-prereqs.md#vss-sys-reqs) を満たしていることを、確認することが重要です。

**注記**  
管理ポリシーを使用するには、インスタンスに `AwsVssComponents` パッケージバージョン `2.3.1` 以降がインストールされている必要があります。バージョン履歴については、「[AwsVssComponents パッケージのバージョン](vss-comps-history.md#AwsVssComponents-history)」を参照してください。

1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。

1. ナビゲーションペインで **[ロール]** を選択すると、アクセスできる IAM ロールのリストが表示されます。

1. インスタンスにアタッチされているロールの **[ロール名]** リンクをクリックします。そのロールの詳細ページが開きます。

1. 管理ポリシーをアタッチするには、リストパネルの右上にある **[許可を追加]** を選択します。ドロップダウンリストから **[ポリシーをアタッチ]** を選択します。

1. 検索を効率化するには、検索バー (`AWSEC2VssSnapshotPolicy`) にポリシー名を入力します。

1. アタッチするポリシーの名前の横にあるチェックボックスをオンにし、**[アクセス許可を追加]** を選択します。