# Usar uma política gerenciada do IAM para conceder permissões para snapshots baseados no VSS
<a name="vss-iam-reqs"></a>

A política gerenciada AWSEC2VssSnapshotPolicy possibilita que o Systems Manager execute as seguintes ações na instância do Windows:
+ Criar e realizar a marcação de snapshots do EBS;
+ Criar e realizar a marcação de imagens de máquina da Amazon (AMIs);
+ Anexar metadados, como o ID do dispositivo, às etiquetas de snapshot padrão criadas pelo VSS.

Este tópico abrange os detalhes da permissão para a política gerenciada do VSS e como anexá-la ao perfil do IAM do perfil de instância do EC2.

**Topics**
+ [Detalhes da política gerenciada AWSEC2VssSnapshotPolicy](#vss-iam-manpol-AWSEC2VssSnapshotPolicy)
+ [Anexar a política gerenciada de snapshot baseado no VSS ao perfil de instância](#vss-snapshots-attach-policy)

## Detalhes da política gerenciada AWSEC2VssSnapshotPolicy
<a name="vss-iam-manpol-AWSEC2VssSnapshotPolicy"></a>

Uma política gerenciada pela AWS é uma política autônoma que a Amazon fornece aos clientes da AWS. As políticas gerenciadas pela AWS são projetadas para conceder permissões para casos de uso conhecidos. Não é possível alterar as permissões definidas nas políticas gerenciadas pela AWS. No entanto, você pode copiar a política e usá-la como referência para o desenvolvimento de uma [política gerenciada pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específica ao seu caso de uso.

 Para obter mais informações sobre as políticas gerenciadas da AWS, consulte [Políticas gerenciadas da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.

Para usar a política gerenciada **AWSEC2VssSnapshotPolicy**, você pode anexá-la ao perfil do IAM anexado às instâncias EC2 Windows. Essa política possibilita que a solução VSS do EC2 crie e adicione etiquetas a imagens de máquina da Amazon (AMIs) e a snapshots do EBS. Para anexar a política, consulte [Anexar a política gerenciada de snapshot baseado no VSS ao perfil de instância](#vss-snapshots-attach-policy).

### Permissões concedidas pelo AWSEC2VssSnapshotPolicy
<a name="vss-iam-manpol-AWSEC2VssSnapshotPolicy-details"></a>

A política **AWSEC2VssSnapshotPolicy** inclui as permissões a seguir do Amazon EC2 que possibilitam que o Amazon EC2 crie e gerencie snapshots do VSS em seu nome. Você pode anexar essa política gerenciada ao perfil de instância do IAM usado para as instâncias EC2 Windows.
+ **ec2:CreateTags**: adicione etiquetas a snapshots e a AMIs do EBS para ajudar na identificação e na categorização dos recursos.
+ **ec2:DescribeInstanceAttribute**: recupere os volumes do EBS e os mapeamentos de dispositivos de bloco correspondentes que estão anexados à instância de destino.
+ **ec2:CreateSnapshots**: crie snapshots de volumes do EBS.
+ **ec2:CreateImage**: crie uma AMI usando uma instância do EC2 em execução.
+ **ec2:DescribeImages**: recupere as informações para AMIs e snapshots do EC2.
+ **ec2:DescribeSnapshots**: defina o horário de criação e o status dos snapshots para verificar a consistência da aplicação.

**nota**  
Para visualizar os detalhes da permissão para esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSEC2VssSnapshotPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSEC2VssSnapshotPolicy.html) na *Referência de políticas gerenciadas pela AWS*.

### Otimizar as permissões para casos de uso específicos (avançado)
<a name="scope-down-perms"></a>

A política gerenciada `AWSEC2VssSnapshotPolicy` inclui permissões para todas as formas pelas quais é possível criar snapshots baseados no VSS. É possível criar uma política personalizada que inclua somente as permissões de que você precisa.

**Caso de uso: criar uma AMI \$1 Caso de uso: usar o serviço AWS Backup**

Caso use exclusivamente a opção `CreateAmi` ou crie snapshots baseados no VSS somente por meio do serviço do AWS Backup, você poderá otimizar as instruções de política conforme apresentado a seguir.
+ Omissão das declarações de política identificadas pelos seguintes IDs de declaração (SIDs):
  + `CreateSnapshotsWithTag`
  + `CreateSnapshotsAccessInstance`
  + `CreateSnapshotsAccessVolume`
+ Ajuste da instrução `CreateTagsOnResourceCreation` da seguinte maneira:
  + Remova `arn:aws:ec2:*:*:snapshot/*` dos recursos.
  + Remova `CreateSnapshots` da condição `ec2:CreateAction`.
+ Ajuste da instrução `CreateTagsAfterResourceCreation` para remover `arn:aws:ec2:*:*:snapshot/*` dos recursos.
+ Ajuste da instrução `DescribeImagesAndSnapshots` para remover `ec2:DescribeSnapshots` da ação da instrução.

**Caso de uso: somente snapshots**

Se você não usar a opção `CreateAmi`, poderá simplificar as declarações de política conforme apresentado a seguir.
+ Omissão das declarações de política identificadas pelos seguintes IDs de declaração (SIDs):
  + `CreateImageAccessInstance`
  + `CreateImageWithTag`
+ Ajuste da instrução `CreateTagsOnResourceCreation` da seguinte maneira:
  + Remova `arn:aws:ec2:*:*:image/*` dos recursos.
  + Remova `CreateImage` da condição `ec2:CreateAction`.
+ Ajuste da instrução `CreateTagsAfterResourceCreation` para remover `arn:aws:ec2:*:*:image/*` dos recursos.
+ Ajuste da instrução `DescribeImagesAndSnapshots` para remover `ec2:DescribeImages` da ação da instrução.

**nota**  
Para garantir que a política personalizada funcione conforme o esperado, recomendamos analisar e incorporar atualizações regularmente à política gerenciada.

## Anexar a política gerenciada de snapshot baseado no VSS ao perfil de instância
<a name="vss-snapshots-attach-policy"></a>

Para conceder permissões para snapshots baseados no VSS para a instância EC2 Windows, anexe a política gerenciada **AWSEC2VssSnapshotPolicy** ao perfil de instância conforme apresentado a seguir. É importante garantir que a instância atenda a todos os [Requisitos do sistema](application-consistent-snapshots-prereqs.md#vss-sys-reqs).

**nota**  
Para usar a política gerenciada, a instância deve ter o pacote `AwsVssComponents` na versão `2.3.1` ou em versões posteriores instalado. Para obter o histórico de versões, consulte [Versões do pacote AwsVssComponents](vss-comps-history.md#AwsVssComponents-history).

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Perfis** para visualizar uma lista de perfis do IAM aos quais você tem acesso.

1. Selecione o link **Nome do perfil** para o perfil anexado à instância. Isso abre a página de detalhes do perfil.

1. Para anexar a política gerenciada, escolha a opção **Adicionar permissões**, localizada no canto superior direito do painel da lista. Em seguida, selecione **Anexar políticas** na lista suspensa.

1. Para agilizar os resultados, insira o nome da política na barra de pesquisa (`AWSEC2VssSnapshotPolicy`).

1. Marque a caixa de seleção ao lado do nome da política a ser anexada e escolha **Adicionar permissões**.