翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Amazon Data Lifecycle Manager の マネージドポリシー
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されています。 AWS 管理ポリシーを使用すると、ポリシーを自分で記述する必要があったよりも、ユーザー、グループ、ロールに適切なアクセス許可を割り当てることが効率的になります。
ただし、 AWS 管理ポリシーで定義されているアクセス許可を変更することはできません。 AWS は、 AWS 管理ポリシーで定義されているアクセス許可を更新することがあります。行われた更新は、ポリシーがアタッチされているすべてのプリンシパルエンティティ (ユーザー、グループ、ロール) に影響します。
Amazon Data Lifecycle Manager は、一般的なユースケース用の AWS マネージドポリシーを提供します。これらのポリシーでは、より効率的に適切なアクセス許可を定義し、リソースへのアクセスを制御できます。Amazon Data Lifecycle Manager が提供する AWS マネージドポリシーは、Amazon Data Lifecycle Manager に渡すロールにアタッチされるように設計されています。
**Topics**
+ [AWSDataLifecycleManagerServiceRole](#AWSDataLifecycleManagerServiceRole)
+ [AWSDataLifecycleManagerServiceRoleForAMIManagement](#AWSDataLifecycleManagerServiceRoleForAMIManagement)
+ [AWSDataLifecycleManagerSSMFullAccess](#AWSDataLifecycleManagerSSMFullAccess)
+ [AWS マネージドポリシーの更新](#policy-update)
## AWSDataLifecycleManagerServiceRole
**AWSDataLifecycleManagerServiceRole** ポリシーは、Amazon Data Lifecycle Manager に適切なアクセス許可を付与し、Amazon EBSスナップショット ポリシーおよびクロスアカウントコピーイベントポリシーを作成、管理します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateSnapshot",
"ec2:CreateSnapshots",
"ec2:DeleteSnapshot",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ec2:DescribeSnapshots",
"ec2:EnableFastSnapshotRestores",
"ec2:DescribeFastSnapshotRestores",
"ec2:DisableFastSnapshotRestores",
"ec2:CopySnapshot",
"ec2:ModifySnapshotAttribute",
"ec2:DescribeSnapshotAttribute",
"ec2:ModifySnapshotTier",
"ec2:DescribeSnapshotTierStatus",
"ec2:DescribeAvailabilityZones"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:DeleteRule",
"events:DescribeRule",
"events:EnableRule",
"events:DisableRule",
"events:ListTargetsByRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": "arn:aws:events:*:*:rule/AwsDataLifecycleRule.managed-cwe.*"
}
]
}
```
------
## AWSDataLifecycleManagerServiceRoleForAMIManagement
**[AWSDataLifecycleManagerServiceRoleForAMIManagement]** ポリシーは、Amazon Data Lifecycle Manager に適切なアクセス権限を付与し、Amazon EBS-backed AMI ポリシーを作成および管理します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": [
"arn:aws:ec2:*::snapshot/*",
"arn:aws:ec2:*::image/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeImageAttribute",
"ec2:DescribeVolumes",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DeleteSnapshot",
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Effect": "Allow",
"Action": [
"ec2:ResetImageAttribute",
"ec2:DeregisterImage",
"ec2:CreateImage",
"ec2:CopyImage",
"ec2:ModifyImageAttribute"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:EnableImageDeprecation",
"ec2:DisableImageDeprecation"
],
"Resource": "arn:aws:ec2:*::image/*"
}
]
}
```
------
## AWSDataLifecycleManagerSSMFullAccess
すべての Amazon EC2 インスタンスで事前スクリプトと事後スクリプトを実行するために必要な Systems Manager アクションを実行する権限を Amazon Data Lifecycle Manager に付与します。
**重要**
このポリシーでは、事前スクリプトと事後スクリプトを使用するときに、`aws:ResourceTag` 条件キーを使って特定の SSM ドキュメントへのアクセスを制限します。Amazon Data Lifecycle Manager が SSM ドキュメントにアクセスできるようにするには、SSM ドキュメントに `DLMScriptsAccess:true` のタグが付けられていることを確認する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSSMReadOnlyAccess",
"Effect": "Allow",
"Action": [
"ssm:GetCommandInvocation",
"ssm:ListCommands",
"ssm:DescribeInstanceInformation"
],
"Resource": "*"
},
{
"Sid": "AllowTaggedSSMDocumentsOnly",
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:DescribeDocument",
"ssm:GetDocument"
],
"Resource": [
"arn:aws:ssm:*:*:document/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/DLMScriptsAccess": "true"
}
}
},
{
"Sid": "AllowSpecificAWSOwnedSSMDocuments",
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:DescribeDocument",
"ssm:GetDocument"
],
"Resource": [
"arn:aws:ssm:*:*:document/AWSEC2-CreateVssSnapshot",
"arn:aws:ssm:*:*:document/AWSSystemsManagerSAP-CreateDLMSnapshotForSAPHANA"
]
},
{
"Sid": "AllowAllEC2Instances",
"Effect": "Allow",
"Action": [
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
]
}
]
}
```
------
## AWS マネージドポリシーの更新
AWS サービスは、 AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスは、新機能をサポートするために、 AWS 管理ポリシーに追加のアクセス許可を追加することがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。サービスは、新機能が起動されたとき、または新しいオペレーションが利用可能になったときに、 AWS マネージドポリシーを更新する可能性が最も高いです。サービスは AWS マネージドポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が損なわれることはありません。
次の表は、このサービスがこれらの変更の追跡を開始してからの Amazon Data Lifecycle Manager の AWS マネージドポリシーの更新に関する詳細を示しています。このページへの変更に関する自動通知を受けるには、[Amazon EBS ユーザーガイドのドキュメント履歴](doc-history.md) の RSS フィードを購読してください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| AWSDataLifecycleManagerServiceRole — ポリシーのアクセス許可を更新しました。 | ローカルゾーンに関する情報を取得するアクセス許可をスナップショットポリシーに付与する ec2:DescribeAvailabilityZones アクションを、Amazon Data Lifecycle Manager に追加しました。 | 2024 年 12 月 16 日 |
| AWSDataLifecycleManagerSSMFullAccess – ポリシーのアクセス許可を更新しました。 | AWSSystemsManagerSAP-CreateDLMSnapshotForSAPHANA SSM ドキュメントを使用した SAP HANA で、アプリケーション整合性のあるスナップショットをサポートするようにポリシーを更新しました。 | 2023 年 11 月 17 日 |
| AWSDataLifecycleManagerSSMFullAccess — 新しい AWS 管理ポリシーを追加しました。 | Amazon Data Lifecycle Manager に AWSDataLifecycleManagerSSMFullAccess AWS 管理ポリシーが追加されました。 | 2023 年 11 月 7 日 |
| AWSDataLifecycleManagerServiceRole – スナップショットのアーカイブをサポートするための、アクセス許可を追加しました。 | Amazon Data Lifecycle Manager に ec2:ModifySnapshotTier および ec2:DescribeSnapshotTierStatus アクションが追加され、スナップショットのアーカイブおよびスナップショットのアーカイブステータスの確認に必要なアクセス許可をスナップショットポリシーに付与できるようになりました。 | 2022 年 9 月 30 日 |
| [AWSDataLifecycleManagerServiceRoleForAMIManagement]— AMI の非推奨をサポートする権限を追加しました。 | Amazon Data Lifecycle Manager は、ec2:EnableImageDeprecationおよびec2:DisableImageDeprecationアクションを使用して、AMI の非推奨を有効または無効にするアクセス権限を EBS-backed AMI ポリシーに付与します。 | 2021 年 8 月 23 日 |
| Amazon Data Lifecycle Manager が変更追跡を開始しました | Amazon Data Lifecycle Manager は、 AWS マネージドポリシーの変更の追跡を開始しました。 | 2021 年 8 月 23 日 |