As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Controlar o acesso ao Amazon Data Lifecycle Manager usando o IAM O acesso ao Amazon Data Lifecycle Manager exige credenciais. Essas credenciais devem ter permissões para acessar AWS recursos, como instâncias, volumes, instantâneos e. AMIs As permissões do IAM a seguir são necessárias para usar o Amazon Data Lifecycle Manager. **nota** As permissões `ec2:DescribeAvailabilityZones`, `ec2:DescribeRegions`, `kms:ListAliases` e `kms:DescribeKey` são necessárias somente para usuários do console. Se o acesso ao console não for necessário, será possível remover as permissões. O formato ARN da *AWSDataLifecycleManagerDefaultRole*função difere dependendo se ela foi criada usando o console ou o. AWS CLI Se a função foi criada usando o console, o formato do ARN é `arn:aws:iam::account_id:role/service-role/AWSDataLifecycleManagerDefaultRole`. Se a função foi criada usando o AWS CLI, o formato ARN é. `arn:aws:iam::account_id:role/AWSDataLifecycleManagerDefaultRole` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "dlm:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::111122223333:role/AWSDataLifecycleManagerDefaultRole", "arn:aws:iam::111122223333:role/AWSDataLifecycleManagerDefaultRoleForAMIManagement", "arn:aws:iam::111122223333:role/service-role/AWSDataLifecycleManagerDefaultRole", "arn:aws:iam::111122223333:role/service-role/AWSDataLifecycleManagerDefaultRoleForAMIManagement" ] }, { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeAvailabilityZones", "ec2:DescribeRegions", "kms:ListAliases", "kms:DescribeKey" ], "Resource": "*" } ] } ``` ------ **Permissões para criptografia** Considere o seguinte ao trabalhar com o Amazon Data Lifecycle Manager e recursos criptografados. + Se o volume de origem estiver criptografado, certifique-se de que as funções padrão do Amazon Data Lifecycle Manager (**AWSDataLifecycleManagerDefaultRole**e **AWSDataLifecycleManagerDefaultRoleForAMIManagement**) tenham permissão para usar as chaves KMS usadas para criptografar o volume. + Se você habilitar **a cópia entre regiões** para instantâneos não criptografados ou AMIs apoiada por instantâneos não criptografados e optar por ativar a criptografia na região de destino, certifique-se de que as funções padrão tenham permissão para usar a chave KMS necessária para realizar a criptografia na região de destino. + Se você habilitar **a cópia entre regiões** para instantâneos criptografados ou AMIs apoiada por instantâneos criptografados, certifique-se de que as funções padrão tenham permissão para usar as chaves KMS de origem e de destino. + Se você habilitar o arquivamento de snapshots para snapshots criptografados, certifique-se de que a **AWSDataLifecycleManagerDefaultRole**função padrão do Amazon Data Lifecycle Manager () tenha permissão para usar a chave KMS usada para criptografar o snapshot. Para obter mais informações, consulte [Permissão para usuários em outras contas usarem uma chave KMS](https://docs.aws.amazon.com//kms/latest/developerguide/key-policy-modifying-external-accounts.html) no *Guia de desenvolvedor do AWS Key Management Service *. Para obter mais informações, consulte [Alteração de permissões para um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) no *Guia do usuário do IAM*.