使用 IAM 受管政策,授予 VSS 型快照 - Amazon Elastic Compute Cloud
VSS 快照受管政策連接 VSS 政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 IAM 受管政策,授予 VSS 型快照

AWSEC2VssSnapshotPolicy 受管政策讓 Systems Manager 可在您的 Windows 執行個體上執行以下動作:

  • 建立和標記 EBS 快照

  • 建立和標記 Amazon Machine Image (AMI)

  • 將中繼資料 (例如裝置 ID) 連接至 VSS 建立的預設快照標籤。

本主題涵蓋 VSS 受管政策的許可詳細資訊,以及如何將其連接至您的 EC2 執行個體設定檔 IAM 角色。

AWSEC2VssSnapshotPolicy 受管政策詳細資訊

AWS 受管政策是 Amazon 為 AWS 客戶提供的獨立政策。AWS 受管政策旨在授予常見使用案例的許可。您無法更改 AWS 受管政策中定義的許可。然而,您可以複製政策,並將使用其作為使用案例特定客戶管理政策的基準。

如需 AWS 受管政策的更多相關資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策

若要使用 AWSEC2VssSnapshotPolicy 受管政策,您可將其連接至已連接至 EC2 Windows 執行個體的 IAM 角色。此政策讓 EC2 VSS 解決方案可建立標籤,並將標籤新增至 Amazon Machine Image (AMI) 和 EBS 快照。若要連接政策,請參閱 將 VSS 快照受管政策連接至執行個體設定檔角色

AWSEC2VssSnapshotPolicy 授予的許可

AWSEC2VssSnapshotPolicy 政策包含以下 Amazon EC2 許可,以允許 Amazon EC2 代表您建立和管理 VSS 快照。您可將此受管政策連接至用於 EC2 Windows 執行個體的 IAM 執行個體設定檔角色。

  • ec2:CreateTags – 將標籤新增至 EBS 快照和 AMIs,協助識別和分類資源。

  • ec2:DescribeInstanceAttribute – 擷取連接至目標執行個體的 EBS 磁碟區和對應之區塊型儲存設備映射。

  • ec2:CreateSnapshots – 建立 EBS 磁碟區的快照。

  • ec2:CreateImage – 從執行中的 EC2 執行個體建立 AMI。

  • ec2:DescribeImages – 擷取 EC2 AMI 和快照的資訊。

  • ec2:DescribeSnapshots – 判斷快照的建立時間和狀態,以驗證應用程式一致性。

注意

若要檢視此政策的許可,請參閱《 AWS 受管政策參考》中的 AWSEC2VssSnapshotPolicy

簡化特定使用案例的許可 - 進階

AWSEC2VssSnapshotPolicy 受管政策會包含您可建立 VSS 型快照之所有方式的許可。您可以建立僅包含您所需許可的自訂政策。

使用案例:建立 AMI,使用案例:使用 AWS Backup 服務

若您僅使用 CreateAmi 選項,或僅透過 AWS Backup 服務建立 VSS 型快照,則可簡化政策陳述式,如下所示。

  • 省略由以下陳述式 ID (SID) 識別的政策陳述式:

    • CreateSnapshotsWithTag

    • CreateSnapshotsAccessInstance

    • CreateSnapshotsAccessVolume

  • 調整 CreateTagsOnResourceCreation 陳述式,如下所示:

    • 從資源中移除 arn:aws:ec2:*:*:snapshot/* 標籤。

    • ec2:CreateAction 條件中移除 CreateSnapshots

  • 調整 CreateTagsAfterResourceCreation 陳述式,以從資源中移除 arn:aws:ec2:*:*:snapshot/*

  • 調整 DescribeImagesAndSnapshots 陳述式,以從陳述式動作中移除 ec2:DescribeSnapshots

使用案例:僅限快照

若您不使用 CreateAmi 選項,則可簡化政策陳述式,如下所示。

  • 省略由以下陳述式 ID (SID) 識別的政策陳述式:

    • CreateImageAccessInstance

    • CreateImageWithTag

  • 調整 CreateTagsOnResourceCreation 陳述式,如下所示:

    • 從資源中移除 arn:aws:ec2:*:*:image/* 標籤。

    • ec2:CreateAction 條件中移除 CreateImage

  • 調整 CreateTagsAfterResourceCreation 陳述式,以從資源中移除 arn:aws:ec2:*:*:image/*

  • 調整 DescribeImagesAndSnapshots 陳述式,以從陳述式動作中移除 ec2:DescribeImages

注意

為了確保自訂政策會如預期執行,建議您定期檢閱並納入受管政策的更新內容。

將 VSS 快照受管政策連接至執行個體設定檔角色

若要授予 VSS 型快照之許可給 EC2 Windows 執行個體,您可將 AWSEC2VssSnapshotPolicy 受管政策連接至執行個體設定檔角色,如下所示。請務必確保您的執行個體符合所有 系統要求

注意

若要使用受管政策,您的執行個體必須安裝 AwsVssComponents 套件版本 2.3.1 或更新版本。如需版本歷史記錄,請參閱 AwsVssComponents 套件版本

  1. 前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 在導覽窗格中,選擇角色以查看您可存取的 IAM 角色清單。

  3. 選取連接至執行個體之角色的角色名稱連結。這會開啟角色詳細資訊頁面。

  4. 若要連接受管政策,請選擇位於清單面板右上角的新增許可。接著,請在下拉式清單中,選擇連接政策

  5. 若要簡化結果,請在搜尋列中輸入政策名稱 (AWSEC2VssSnapshotPolicy)。

  6. 選取要連接之政策名稱旁的核取方塊,然後選擇新增許可