本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 IAM 受管政策,授予 VSS 型快照
AWSEC2VssSnapshotPolicy 受管政策讓 Systems Manager 可在您的 Windows 執行個體上執行以下動作:
+ 建立和標記 EBS 快照
+ 建立和標記 Amazon Machine Image (AMI)
+ 將中繼資料 (例如裝置 ID) 連接至 VSS 建立的預設快照標籤。
本主題涵蓋 VSS 受管政策的許可詳細資訊,以及如何將其連接至您的 EC2 執行個體設定檔 IAM 角色。
**Topics**
+ [AWSEC2VssSnapshotPolicy 受管政策詳細資訊](#vss-iam-manpol-AWSEC2VssSnapshotPolicy)
+ [將 VSS 快照受管政策連接至執行個體設定檔角色](#vss-snapshots-attach-policy)
## AWSEC2VssSnapshotPolicy 受管政策詳細資訊
AWS 受管政策是 Amazon 為客戶提供的獨立政策 AWS 。 AWS 受管政策旨在授予常見使用案例的許可。您無法變更 AWS 受管政策中定義的許可。然而,您可以複製政策,並將使用其作為使用案例特定[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)的基準。
如需 AWS 受管政策的詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
若要使用 **AWSEC2VssSnapshotPolicy** 受管政策,您可將其連接至已連接至 EC2 Windows 執行個體的 IAM 角色。此政策讓 EC2 VSS 解決方案可建立標籤,並將標籤新增至 Amazon Machine Image (AMI) 和 EBS 快照。若要連接政策,請參閱 [將 VSS 快照受管政策連接至執行個體設定檔角色](#vss-snapshots-attach-policy)。
### AWSEC2VssSnapshotPolicy 授予的許可
**AWSEC2VssSnapshotPolicy** 政策包含以下 Amazon EC2 許可,以允許 Amazon EC2 代表您建立和管理 VSS 快照。您可將此受管政策連接至用於 EC2 Windows 執行個體的 IAM 執行個體設定檔角色。
+ **ec2:CreateTags** – 將標籤新增至 EBS 快照和 AMIs,協助識別和分類資源。
+ **ec2:DescribeInstanceAttribute** – 擷取連接至目標執行個體的 EBS 磁碟區和對應之區塊型儲存設備映射。
+ **ec2:CreateSnapshots** – 建立 EBS 磁碟區的快照。
+ **ec2:CreateImage** – 從執行中的 EC2 執行個體建立 AMI。
+ **ec2:DescribeImages** – 擷取 EC2 AMI 和快照的資訊。
+ **ec2:DescribeSnapshots** – 判斷快照的建立時間和狀態,以驗證應用程式一致性。
**注意**
若要檢視此政策的許可,請參閱「AWS 受管政策參考」**中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSEC2VssSnapshotPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSEC2VssSnapshotPolicy.html)。
### 簡化特定使用案例的許可 - 進階
`AWSEC2VssSnapshotPolicy` 受管政策會包含您可建立 VSS 型快照之所有方式的許可。您可以建立僅包含您所需許可的自訂政策。
**使用案例:建立 AMI、使用案例:使用 AWS Backup 服務**
如果您只使用 `CreateAmi`選項,或者您只透過 AWS Backup 服務建立 VSS 型快照,則可以簡化政策陳述式,如下所示。
+ 省略由以下陳述式 ID (SID) 識別的政策陳述式:
+ `CreateSnapshotsWithTag`
+ `CreateSnapshotsAccessInstance`
+ `CreateSnapshotsAccessVolume`
+ 調整 `CreateTagsOnResourceCreation` 陳述式,如下所示:
+ 從資源中移除 `arn:aws:ec2:*:*:snapshot/*` 標籤。
+ 從 `ec2:CreateAction` 條件中移除 `CreateSnapshots`。
+ 調整 `CreateTagsAfterResourceCreation` 陳述式,以從資源中移除 `arn:aws:ec2:*:*:snapshot/*`。
+ 調整 `DescribeImagesAndSnapshots` 陳述式,以從陳述式動作中移除 `ec2:DescribeSnapshots`。
**使用案例:僅限快照**
若您不使用 `CreateAmi` 選項,則可簡化政策陳述式,如下所示。
+ 省略由以下陳述式 ID (SID) 識別的政策陳述式:
+ `CreateImageAccessInstance`
+ `CreateImageWithTag`
+ 調整 `CreateTagsOnResourceCreation` 陳述式,如下所示:
+ 從資源中移除 `arn:aws:ec2:*:*:image/*` 標籤。
+ 從 `ec2:CreateAction` 條件中移除 `CreateImage`。
+ 調整 `CreateTagsAfterResourceCreation` 陳述式,以從資源中移除 `arn:aws:ec2:*:*:image/*`。
+ 調整 `DescribeImagesAndSnapshots` 陳述式,以從陳述式動作中移除 `ec2:DescribeImages`。
**注意**
為了確保自訂政策會如預期執行,建議您定期檢閱並納入受管政策的更新內容。
## 將 VSS 快照受管政策連接至執行個體設定檔角色
若要授予 VSS 型快照之許可給 EC2 Windows 執行個體,您可將 **AWSEC2VssSnapshotPolicy** 受管政策連接至執行個體設定檔角色,如下所示。請務必確保您的執行個體符合所有 [系統要求](application-consistent-snapshots-prereqs.md#vss-sys-reqs)。
**注意**
若要使用受管政策,您的執行個體必須安裝 `AwsVssComponents` 套件版本 `2.3.1` 或更新版本。如需版本歷史記錄,請參閱 [AwsVssComponents 套件版本](vss-comps-history.md#AwsVssComponents-history)。
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇**角色**以查看您可存取的 IAM 角色清單。
1. 選取連接至執行個體之角色的**角色名稱**連結。這會開啟角色詳細資訊頁面。
1. 若要連接受管政策,請選擇位於清單面板右上角的**新增許可**。接著,請在下拉式清單中,選擇**連接政策**。
1. 若要簡化結果,請在搜尋列中輸入政策名稱 (`AWSEC2VssSnapshotPolicy`)。
1. 選取要連接之政策名稱旁的核取方塊,然後選擇**新增許可**。