AWS políticas gerenciadas para o Amazon Data Lifecycle Manager - Amazon EBS
AWSDataLifecycleManagerServiceRoleAWSDataLifecycleManagerServiceRoleForAMIManagementAWSDataLifecycleManagerSSMFullAccessAWS atualizações de políticas gerenciadas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS políticas gerenciadas para o Amazon Data Lifecycle Manager

Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns. AWS as políticas gerenciadas tornam mais eficiente a atribuição de permissões apropriadas a usuários, grupos e funções do que se você mesmo tivesse que escrever as políticas.

No entanto, você não pode alterar as permissões definidas nas políticas AWS gerenciadas. AWS ocasionalmente atualiza as permissões definidas em uma política AWS gerenciada. Quando isso ocorre, a atualização afetará todas as entidades principais (usuários, grupos e perfis) às quais a política está anexada.

O Amazon Data Lifecycle Manager fornece políticas AWS gerenciadas para casos de uso comuns. Essas políticas tornam mais eficiente definir as permissões apropriadas e controlar o acesso aos seus recursos. As políticas AWS gerenciadas fornecidas pelo Amazon Data Lifecycle Manager foram projetadas para serem vinculadas às funções que você passa para o Amazon Data Lifecycle Manager.

AWSDataLifecycleManagerServiceRole

A AWSDataLifecycleManagerServiceRolepolítica fornece permissões apropriadas ao Amazon Data Lifecycle Manager para criar e gerenciar políticas de EBS snapshot da Amazon e políticas de eventos de cópia entre contas.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateSnapshot",
                "ec2:CreateSnapshots",
                "ec2:DeleteSnapshot",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ec2:DescribeSnapshots",
                "ec2:EnableFastSnapshotRestores",
                "ec2:DescribeFastSnapshotRestores",
                "ec2:DisableFastSnapshotRestores",
                "ec2:CopySnapshot",
                "ec2:ModifySnapshotAttribute",
                "ec2:DescribeSnapshotAttribute",
                "ec2:ModifySnapshotTier",
                "ec2:DescribeSnapshotTierStatus",
                "ec2:DescribeAvailabilityZones"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "events:PutRule",
                "events:DeleteRule",
                "events:DescribeRule",
                "events:EnableRule",
                "events:DisableRule",
                "events:ListTargetsByRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
            "Resource": "arn:aws:events:*:*:rule/AwsDataLifecycleRule.managed-cwe.*"
        }
    ]
}

AWSDataLifecycleManagerServiceRoleForAMIManagement

A AWSDataLifecycleManagerServiceRoleForAMIManagementpolítica fornece permissões apropriadas ao Amazon Data Lifecycle Manager para criar e gerenciar políticas apoiadas pela Amazon. EBS AMI

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": [
                "arn:aws:ec2:*::snapshot/*",
                "arn:aws:ec2:*::image/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages",
                "ec2:DescribeInstances",
                "ec2:DescribeImageAttribute",
                "ec2:DescribeVolumes",
                "ec2:DescribeSnapshots"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteSnapshot",
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ResetImageAttribute",
                "ec2:DeregisterImage",
                "ec2:CreateImage",
                "ec2:CopyImage",
                "ec2:ModifyImageAttribute"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:EnableImageDeprecation",
                "ec2:DisableImageDeprecation"
            ],
            "Resource": "arn:aws:ec2:*::image/*"
        }
    ]
}

AWSDataLifecycleManagerSSMFullAccess

Fornece ao Amazon Data Lifecycle Manager permissão para realizar as ações do Systems Manager necessárias para executar scripts anteriores e posteriores em todas as instâncias da Amazon. EC2

Importante

A política usa a chave de aws:ResourceTag condição para restringir o acesso a SSM documentos específicos ao usar scripts anteriores e posteriores. Para permitir que o Amazon Data Lifecycle Manager acesse os SSM documentos, você deve garantir que seus SSM documentos estejam marcados com. DLMScriptsAccess:true 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSSMReadOnlyAccess",
            "Effect": "Allow",
            "Action": [
                "ssm:GetCommandInvocation",
                "ssm:ListCommands",
                "ssm:DescribeInstanceInformation"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowTaggedSSMDocumentsOnly",
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand",
                "ssm:DescribeDocument",
                "ssm:GetDocument"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:document/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/DLMScriptsAccess": "true"
                }
            }
        },
        {
            "Sid": "AllowSpecificAWSOwnedSSMDocuments",
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand",
                "ssm:DescribeDocument",
                "ssm:GetDocument"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:document/AWSEC2-CreateVssSnapshot",
                "arn:aws:ssm:*:*:document/AWSSystemsManagerSAP-CreateDLMSnapshotForSAPHANA"
            ]
        },
        {
            "Sid": "AllowAllEC2Instances",
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*"
            ]
        }
    ]
}

AWS atualizações de políticas gerenciadas

AWS os serviços mantêm e atualizam as políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Ocasionalmente, os serviços adicionam permissões adicionais a uma política AWS gerenciada para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política AWS gerenciada quando um novo recurso é lançado ou quando novas operações são disponibilizadas. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.

A tabela a seguir fornece detalhes sobre as atualizações das políticas AWS gerenciadas do Amazon Data Lifecycle Manager desde que esse serviço começou a rastrear essas alterações. Para alertas automáticos sobre alterações nesta página, assine o RSS feed noHistórico de documentos do Guia do EBS usuário da Amazon.

Alteração Descrição Data
AWSDataLifecycleManagerServiceRole— Atualizou as permissões da política. O Amazon Data Lifecycle Manager adicionou a ec2:DescribeAvailabilityZones ação para conceder permissão às políticas de snapshot para obter informações sobre Zonas Locais. 16 de dezembro de 2024
AWSDataLifecycleManagerSSMFullAccess— Atualizou as permissões da política. A política foi atualizada para oferecer suporte a instantâneos consistentes com aplicativos para SAP HANA o uso do documento. AWSSystemsManagerSAP-CreateDLMSnapshotForSAPHANA SSM 17 de novembro de 2023
AWSDataLifecycleManagerSSMFullAccess— Foi adicionada uma nova política AWS gerenciada. O Amazon Data Lifecycle Manager adicionou a política gerenciada. AWSDataLifecycleManagerSSMFullAccess AWS 7 de novembro de 2023
AWSDataLifecycleManagerServiceRole— Permissões adicionadas para oferecer suporte ao arquivamento de instantâneos. O Amazon Data Lifecycle Manager adicionou as ações ec2:ModifySnapshotTier e ec2:DescribeSnapshotTierStatus para conceder permissão às políticas de snapshots para arquivar snapshots e verificar seu status de arquivamento. 30 de setembro de 2022
AWSDataLifecycleManagerServiceRoleForAMIManagement— Permissões adicionadas para apoiar a suspensão AMI de uso. O Amazon Data Lifecycle Manager adicionou as ec2:DisableImageDeprecation ações ec2:EnableImageDeprecation e para conceder permissão às AMI políticas EBS apoiadas para ativar e desativar a suspensão de uso. AMI 23 de agosto de 2021
O Amazon Data Lifecycle Manager começou a monitorar alterações O Amazon Data Lifecycle Manager começou a monitorar as alterações em suas políticas gerenciadas. AWS 23 de agosto de 2021