AWS Amazon Data Lifecycle Manager の マネージドポリシー - Amazon EBS
AWSDataLifecycleManagerServiceRoleAWSDataLifecycleManagerServiceRoleForAMIManagementAWSDataLifecycleManagerSSMFullAccessAWS マネージドポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Amazon Data Lifecycle Manager の マネージドポリシー

AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されています。 AWS 管理ポリシーを使用すると、ポリシーを自分で記述するよりも、ユーザー、グループ、ロールに適切なアクセス許可を割り当てることが効率的になります。

ただし、 AWS 管理ポリシーで定義されているアクセス許可は変更できません。 AWS は、 AWS 管理ポリシーで定義されているアクセス許可を更新することがあります。行われた更新は、ポリシーがアタッチされているすべてのプリンシパルエンティティ (ユーザー、グループ、ロール) に影響します。

Amazon Data Lifecycle Manager は、一般的なユースケース向けの AWS 管理ポリシーを提供します。これらのポリシーでは、より効率的に適切なアクセス許可を定義し、リソースへのアクセスを制御できます。Amazon Data Lifecycle Manager が提供する AWS 管理ポリシーは、Amazon Data Lifecycle Manager に渡すロールにアタッチされるように設計されています。

AWSDataLifecycleManagerServiceRole

このAWSDataLifecycleManagerServiceRoleポリシーは、Amazon Data Lifecycle Manager に Amazon EBSスナップショットポリシーとクロスアカウントコピーイベントポリシーを作成および管理するための適切なアクセス許可を提供します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateSnapshot",
                "ec2:CreateSnapshots",
                "ec2:DeleteSnapshot",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ec2:DescribeSnapshots",
                "ec2:EnableFastSnapshotRestores",
                "ec2:DescribeFastSnapshotRestores",
                "ec2:DisableFastSnapshotRestores",
                "ec2:CopySnapshot",
                "ec2:ModifySnapshotAttribute",
                "ec2:DescribeSnapshotAttribute",
                "ec2:ModifySnapshotTier",
                "ec2:DescribeSnapshotTierStatus",
                "ec2:DescribeAvailabilityZones"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "events:PutRule",
                "events:DeleteRule",
                "events:DescribeRule",
                "events:EnableRule",
                "events:DisableRule",
                "events:ListTargetsByRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
            "Resource": "arn:aws:events:*:*:rule/AwsDataLifecycleRule.managed-cwe.*"
        }
    ]
}

AWSDataLifecycleManagerServiceRoleForAMIManagement

このAWSDataLifecycleManagerServiceRoleForAMIManagementポリシーは、Amazon Data Lifecycle Manager が Amazon EBS-backed AMIポリシーを作成および管理するための適切なアクセス許可を提供します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": [
                "arn:aws:ec2:*::snapshot/*",
                "arn:aws:ec2:*::image/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages",
                "ec2:DescribeInstances",
                "ec2:DescribeImageAttribute",
                "ec2:DescribeVolumes",
                "ec2:DescribeSnapshots"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteSnapshot",
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ResetImageAttribute",
                "ec2:DeregisterImage",
                "ec2:CreateImage",
                "ec2:CopyImage",
                "ec2:ModifyImageAttribute"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:EnableImageDeprecation",
                "ec2:DisableImageDeprecation"
            ],
            "Resource": "arn:aws:ec2:*::image/*"
        }
    ]
}

AWSDataLifecycleManagerSSMFullAccess

すべての Amazon EC2インスタンスで事前スクリプトと事後スクリプトを実行するために必要な Systems Manager アクションを実行するアクセス許可を Amazon Data Lifecycle Manager に付与します。

重要

このポリシーは、 aws:ResourceTag条件キーを使用して、事前スクリプトと事後スクリプトを使用するときに特定のSSMドキュメントへのアクセスを制限します。Amazon Data Lifecycle Manager がSSMドキュメントにアクセスできるようにするには、SSMドキュメントに がタグ付けされていることを確認する必要がありますDLMScriptsAccess:true

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSSMReadOnlyAccess",
            "Effect": "Allow",
            "Action": [
                "ssm:GetCommandInvocation",
                "ssm:ListCommands",
                "ssm:DescribeInstanceInformation"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowTaggedSSMDocumentsOnly",
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand",
                "ssm:DescribeDocument",
                "ssm:GetDocument"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:document/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/DLMScriptsAccess": "true"
                }
            }
        },
        {
            "Sid": "AllowSpecificAWSOwnedSSMDocuments",
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand",
                "ssm:DescribeDocument",
                "ssm:GetDocument"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:document/AWSEC2-CreateVssSnapshot",
                "arn:aws:ssm:*:*:document/AWSSystemsManagerSAP-CreateDLMSnapshotForSAPHANA"
            ]
        },
        {
            "Sid": "AllowAllEC2Instances",
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*"
            ]
        }
    ]
}

AWS マネージドポリシーの更新

AWS サービスは、 AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスは、 AWS マネージドポリシーに新しい機能をサポートするアクセス許可を追加することがあります。この種の更新は、ポリシーがアタッチされているすべてのアイデンティティ (ユーザー、グループ、ロール) に影響を与えます。サービスは、新機能が起動されたとき、または新しいオペレーションが利用可能になったときに、 AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは AWS 管理ポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が損なわれることはありません。

次の表は、Amazon Data Lifecycle Manager がこれらの変更の追跡を開始した以降の、Amazon Data Lifecycle Manager の AWS マネージドポリシーの更新に関する詳細を示しています。このページの変更に関する自動アラートを受け取るには、 の RSSフィードにサブスクライブしますAmazon EBS ユーザーガイドのドキュメント履歴

変更 説明 日付
AWSDataLifecycleManagerServiceRole — ポリシーのアクセス許可を更新しました。 Amazon Data Lifecycle Manager は、ローカルゾーンに関する情報を取得するアクセス許可をスナップショットポリシーに付与する ec2:DescribeAvailabilityZones アクションを追加しました。 2024 年 12 月 16 日
AWSDataLifecycleManagerSSMFullAccess — ポリシーのアクセス許可を更新しました。 AWSSystemsManagerSAP-CreateDLMSnapshotForSAPHANA SSM ドキュメントSAPHANAを使用するためのアプリケーション整合性のあるスナップショットをサポートするようにポリシーを更新しました。 2023 年 11 月 17 日
AWSDataLifecycleManagerSSMFullAccess — 新しい AWS 管理ポリシーを追加しました。 Amazon Data Lifecycle Manager に AWSDataLifecycleManagerSSMFullAccess AWS マネージドポリシーが追加されました。 2023 年 11 月 7 日
AWSDataLifecycleManagerServiceRole — スナップショットのアーカイブをサポートするアクセス許可を追加しました。 Amazon Data Lifecycle Manager に ec2:ModifySnapshotTier および ec2:DescribeSnapshotTierStatus アクションが追加され、スナップショットのアーカイブおよびスナップショットのアーカイブステータスの確認に必要なアクセス許可をスナップショットポリシーに付与できるようになりました。 2022 年 9 月 30 日
AWSDataLifecycleManagerServiceRoleForAMIManagement — AMI非推奨をサポートするアクセス許可を追加しました。 Amazon Data Lifecycle Manager は、AMI非推奨を有効または無効にするアクセス許可を EBS-backed AMIポリシーに付与する ec2:EnableImageDeprecationおよび ec2:DisableImageDeprecationアクションを追加しました。 2021 年 8 月 23 日
Amazon Data Lifecycle Manager が変更追跡を開始しました Amazon Data Lifecycle Manager が AWS マネージドポリシーの変更の追跡を開始しました。 2021 年 8 月 23 日