翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# IAM を使用して Amazon Data Lifecycle Manager へのアクセスを制御
<a name="dlm-prerequisites"></a>

Amazon Data Lifecycle Manager へのアクセスには、認証情報が必要です。それらの資格情報には、インスタンス、ボリューム、スナップショット、AMIなどの AWS リソースにアクセスするためのアクセス許可が必要です。

Amazon Data Lifecycle Manager を使用するには、次の IAM 許可が必要です。

**注記**  
`ec2:DescribeAvailabilityZones`、`ec2:DescribeRegions`、`kms:ListAliases`、および `kms:DescribeKey` 許可は、コンソールユーザーにのみ必要です。コンソールへのアクセスが不要な場合は、許可を削除できます。
*AWSDataLifecycleManagerDefaultRole* ロールの ARN 形式は、コンソールを使用して作成されたか、 AWS CLIを使用して作成されたかによって異なります。コンソールを使用してロールが作成された場合、ARN 形式は `arn:aws:iam::account_id:role/service-role/AWSDataLifecycleManagerDefaultRole` です。ロールが を使用して作成された場合 AWS CLI、ARN 形式は です`arn:aws:iam::account_id:role/AWSDataLifecycleManagerDefaultRole`。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "dlm:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::111122223333:role/AWSDataLifecycleManagerDefaultRole",
                "arn:aws:iam::111122223333:role/AWSDataLifecycleManagerDefaultRoleForAMIManagement",
                "arn:aws:iam::111122223333:role/service-role/AWSDataLifecycleManagerDefaultRole",
                "arn:aws:iam::111122223333:role/service-role/AWSDataLifecycleManagerDefaultRoleForAMIManagement"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeRegions",
                "kms:ListAliases",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}
```

------

**暗号化のアクセス許可**

Amazon Data Lifecycle Manager および暗号化されたリソースを操作する場合は、次の点を考慮してください。
+ ソースボリュームが暗号化されている場合は、Amazon Data Lifecycle Manager デフォルトのロール (**AWSDataLifecycleManagerDefaultRole** および **AWSDataLifecycleManagerDefaultRoleForAMIManagement**) に、ボリュームの暗号化に使用する KMS キー を使うアクセス権限があることを確認してください。
+ 暗号化されていないスナップショット、または暗号化されていないスナップショットによってバックアップされた AMI に対する**クロスリージョンコピー**を有効にし、送信先リージョンで暗号化を有効にする場合は、デフォルトのロールに、送信先リージョンで暗号化を実行するのに必要な KMS キー を使用するためのアクセス権限があることを確認してください。
+ 暗号化されたスナップショット、または暗号化されたスナップショットによってバックアップされた AMI に対して**クロスリージョンコピー**を有効にする場合は 、デフォルトのロールに、送信元および送信先の両方の KMS キー を使用するためのアクセス権限があることを確認してください。
+ 暗号化されたスナップショットのスナップショットアーカイブを有効にする場合は、Amazon Data Lifecycle Manager デフォルトのロール (**AWSDataLifecycleManagerDefaultRole**) に、スナップショショットの暗号化に使用する KMS キーを使う許可があることを確認してください。

詳細については、*AWS Key Management Service デベロッパーガイド*の「[他のアカウントのユーザーに KMS キーの使用を許可する](https://docs.aws.amazon.com//kms/latest/developerguide/key-policy-modifying-external-accounts.html)」を参照してください。

詳細については、「*AWS Identity and Access Management ユーザーガイド*」の「[IAM ユーザーのアクセス許可を変更する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html)」を参照してください。