를 사용하여 Amazon Data Lifecycle Manager에 대한 액세스 제어 IAM - Amazon EBS

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

를 사용하여 Amazon Data Lifecycle Manager에 대한 액세스 제어 IAM

Amazon Data Lifecycle Manager에 액세스하려면 자격 증명이 필요합니다. 이러한 자격 증명에는 인스턴스, 볼륨, 스냅샷 및와 같은 AWS 리소스에 액세스할 수 있는 권한이 있어야 합니다AMIs.

Amazon Data Lifecycle Manager를 사용하려면 다음 IAM 권한이 필요합니다.

참고

  • ec2:DescribeAvailabilityZones, ec2:DescribeRegions, kms:ListAliaseskms:DescribeKey 권한은 콘솔 사용자에게만 필요합니다. 콘솔 액세스가 필요하지 않은 경우 권한을 제거할 수 있습니다.

  • AWSDataLifecycleManagerDefaultRole 역할의 ARN 형식은 콘솔 또는를 사용하여 생성되었는지 여부에 따라 다릅니다 AWS CLI. 콘솔을 사용하여 역할을 생성한 경우 ARN 형식은 입니다arn:aws:iam::account_id:role/service-role/AWSDataLifecycleManagerDefaultRole. 를 사용하여 역할을 생성한 경우 AWS CLI ARN 형식은 입니다arn:aws:iam::account_id:role/AWSDataLifecycleManagerDefaultRole.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "dlm:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::accound_id:role/AWSDataLifecycleManagerDefaultRole",
                "arn:aws:iam::accound_id:role/AWSDataLifecycleManagerDefaultRoleForAMIManagement",
			    "arn:aws:iam::accound_id:role/service-role/AWSDataLifecycleManagerDefaultRole",
                "arn:aws:iam::accound_id:role/service-role/AWSDataLifecycleManagerDefaultRoleForAMIManagement"
                ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeRegions",
                "kms:ListAliases",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}
암호화 권한

Amazon Data Lifecycle Manager와 암호화된 리소스를 사용할 때는 다음 사항을 고려하세요.

  • 소스 볼륨이 암호화된 경우 Amazon Data Lifecycle Manager 기본 역할(AWSDataLifecycleManagerDefaultRoleAWSDataLifecycleManagerDefaultRoleForAMIManagement)에 볼륨을 암호화하는 데 사용되는 KMS 키를 사용할 수 있는 권한이 있는지 확인합니다.

  • 암호화되지 않은 스냅샷에 대해 교차 리전 복사를 활성화하거나 암호화되지 않은 스냅샷에 의해 AMIs 지원되는 경우 대상 리전에서 암호화를 활성화하도록 선택한 경우 기본 역할에 대상 리전에서 암호화를 수행하는 데 필요한 KMS 키를 사용할 수 있는 권한이 있는지 확인합니다.

  • 암호화된 스냅샷에 대해 교차 리전 복사를 활성화하거나 암호화된 스냅샷으로 AMIs 지원되는 경우 기본 역할에 소스 키와 대상 KMS 키를 모두 사용할 수 있는 권한이 있는지 확인합니다.

  • 암호화된 스냅샷에 대해 스냅샷 아카이빙을 활성화하는 경우 Amazon Data Lifecycle Manager 기본 역할(AWSDataLifecycleManagerDefaultRole에 스냅샷을 암호화하는 데 사용되는 KMS 키를 사용할 수 있는 권한이 있는지 확인합니다.

자세한 내용은 AWS Key Management Service 개발자 안내서다른 계정의 사용자가 KMS 키를 사용하도록 허용을 참조하세요.

자세한 내용은 IAM 사용 설명서사용자에 대한 권한 변경을 참조하세요.