本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 IAM 控制對 Amazon Data Lifecycle Manager 的存取
<a name="dlm-prerequisites"></a>

Amazon Data Lifecycle Manager 的存取需要憑證。這些憑證必須具備許可才能存取 AWS 資源，例如執行個體、磁碟區、快照和 AMI。

使用 Amazon Data Lifecycle Manager 需要下列 IAM 許可。

**注意**  
僅主控台使用者需要 `ec2:DescribeAvailabilityZones`、`ec2:DescribeRegions`、`kms:ListAliases`，和 `kms:DescribeKey` 許可權限。若無需主控台存取，您可以移除許可。
*AWSDataLifecycleManagerDefaultRole* 角色的 ARN 格式會根據是使用主控台還是使用 AWS CLI建立而有所不同。如果使用主控台建立角色，ARN 格式為 `arn:aws:iam::{{account_id}}:role/service-role/AWSDataLifecycleManagerDefaultRole`。如果角色是使用 建立的 AWS CLI，則 ARN 格式為 `arn:aws:iam::{{account_id}}:role/AWSDataLifecycleManagerDefaultRole`。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "dlm:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::{{111122223333}}:role/AWSDataLifecycleManagerDefaultRole",
                "arn:aws:iam::{{111122223333}}:role/AWSDataLifecycleManagerDefaultRoleForAMIManagement",
                "arn:aws:iam::{{111122223333}}:role/service-role/AWSDataLifecycleManagerDefaultRole",
                "arn:aws:iam::{{111122223333}}:role/service-role/AWSDataLifecycleManagerDefaultRoleForAMIManagement"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeRegions",
                "kms:ListAliases",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}
```

------

**用於加密的許可**

使用 Amazon Data Lifecycle Manager 和加密資源時，請考慮下列事項。
+ 如果來源磁碟區已加密，請確保 Amazon Data Lifecycle Manager 預設角色 (**AWSDataLifecycleManagerDefaultRole** 和 **AWSDataLifecycleManagerDefaultRoleForAMIManagement**) 具有許可，可使用在加密磁碟區時所用的 KMS 金鑰。
+ 如果您針對未加密快照或由未加密快照所支援的 AMI 啟用 **Cross Region copy (跨區域複本)**，並選擇在目的地區域中啟用加密，請確保預設角色都具有許可，可使用在目的地區域中執行加密所需的 KMS 金鑰。
+ 如果您針對加密快照或由加密快照所支援的 AMI 啟用 ** Cross Region copy (跨區域複本)**，請確保預設角色都具有許可，可同時使用來源和目的地 KMS 金鑰。
+ 如果為加密快照啟用快照封存，則請確保 Amazon Data Lifecycle Manager 預設角色 (**AWSDataLifecycleManagerDefaultRole**) 具有許可，可使用在加密快照時所用的 KMS 金鑰。

如需詳細資訊，請參閱 *AWS Key Management Service 開發人員指南*中的[允許其他帳戶中的使用者使用 KMS 金鑰](https://docs.aws.amazon.com//kms/latest/developerguide/key-policy-modifying-external-accounts.html)。

如需詳細資訊，請參閱 *IAM 使用者指南*中的[變更使用者的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html)。