を使用して Amazon Data Lifecycle Manager へのアクセスを制御する IAM - Amazon EBS

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用して Amazon Data Lifecycle Manager へのアクセスを制御する IAM

Amazon Data Lifecycle Manager へのアクセスには、認証情報が必要です。これらの認証情報には、インスタンス、ボリューム、スナップショット、 などの AWS リソースへのアクセス許可が必要ですAMIs。

Amazon Data Lifecycle Manager を使用するには、次のIAMアクセス許可が必要です。

注記

  • ec2:DescribeAvailabilityZonesec2:DescribeRegionskms:ListAliases、および kms:DescribeKey 許可は、コンソールユーザーにのみ必要です。コンソールへのアクセスが不要な場合は、許可を削除できます。

  • AWSDataLifecycleManagerDefaultRole ロールのARN形式は、コンソールを使用して作成されたか、 を使用して作成されたかによって異なります AWS CLI。コンソールを使用してロールが作成された場合、ARN形式は ですarn:aws:iam::account_id:role/service-role/AWSDataLifecycleManagerDefaultRole。ロールが を使用して作成された場合 AWS CLI、ARN形式は ですarn:aws:iam::account_id:role/AWSDataLifecycleManagerDefaultRole

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "dlm:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::accound_id:role/AWSDataLifecycleManagerDefaultRole",
                "arn:aws:iam::accound_id:role/AWSDataLifecycleManagerDefaultRoleForAMIManagement",
			    "arn:aws:iam::accound_id:role/service-role/AWSDataLifecycleManagerDefaultRole",
                "arn:aws:iam::accound_id:role/service-role/AWSDataLifecycleManagerDefaultRoleForAMIManagement"
                ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeRegions",
                "kms:ListAliases",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}
暗号化のアクセス許可

Amazon Data Lifecycle Manager および暗号化されたリソースを操作する場合は、次の点を考慮してください。

  • ソースボリュームが暗号化されている場合は、Amazon Data Lifecycle Manager のデフォルトロール (AWSDataLifecycleManagerDefaultRole および AWSDataLifecycleManagerDefaultRoleForAMIManagement) に、ボリュームの暗号化に使用されるKMSキーを使用するアクセス許可があることを確認してください。

  • 暗号化されていないスナップショットまたはAMIs暗号化されていないスナップショットでクロスリージョンコピーを有効にし、送信先リージョンで暗号化を有効にする場合は、送信先リージョンで暗号化を実行するために必要なKMSキーを使用するアクセス許可がデフォルトのロールに付与されていることを確認します。

  • 暗号化されたスナップショット、または暗号化されたスナップショットによってAMIsバックアップされたスナップショットのクロスリージョンコピーを有効にする場合は、デフォルトのロールに、送信元キーと送信先KMSキーの両方を使用するアクセス許可があることを確認してください。

  • 暗号化されたスナップショットのスナップショットアーカイブを有効にする場合は、Amazon Data Lifecycle Manager のデフォルトロール (AWSDataLifecycleManagerDefaultRole には、スナップショットの暗号化に使用されるKMSキーを使用するアクセス許可があることを確認してください。

詳細については、「 デベロッパーガイド」の「他のアカウントのユーザーにKMSキーの使用を許可する」を参照してください。 AWS Key Management Service

詳細については、「 IAMユーザーガイド」の「ユーザーのアクセス許可の変更」を参照してください。