本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 受管政策是由 AWS. AWS managed 政策建立和管理的獨立政策,旨在為許多常用案例提供許可。 AWS 受管政策可讓您更有效地將適當的許可指派給使用者、群組和角色,而不是您必須自行撰寫政策。
不過,您無法變更 AWS 受管政策中定義的許可。 AWS 偶爾會更新 AWS 受管政策中定義的許可。執行這項動作時,更新會影響政策連接到的所有委託人實體 (使用者、群組和角色)。
Amazon Data Lifecycle Manager 為常見使用案例提供 AWS 受管政策。這些政策可讓您更高效地定義適當的許可,和控制對您的資源的存取。Amazon Data Lifecycle Manager 提供的 AWS 受管政策旨在連接到您傳遞給 Amazon Data Lifecycle Manager 的角色。
主題
AWSDataLifecycleManagerServiceRole
AWSDataLifecycleManagerServiceRole 政策為 Amazon Data Lifecycle Manager 提供相應的許可,以建立和管理 Amazon EBS 快照政策和跨帳戶複本事件政策。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateSnapshot",
"ec2:CreateSnapshots",
"ec2:DeleteSnapshot",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ec2:DescribeSnapshots",
"ec2:EnableFastSnapshotRestores",
"ec2:DescribeFastSnapshotRestores",
"ec2:DisableFastSnapshotRestores",
"ec2:CopySnapshot",
"ec2:ModifySnapshotAttribute",
"ec2:DescribeSnapshotAttribute",
"ec2:ModifySnapshotTier",
"ec2:DescribeSnapshotTierStatus",
"ec2:DescribeAvailabilityZones"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:DeleteRule",
"events:DescribeRule",
"events:EnableRule",
"events:DisableRule",
"events:ListTargetsByRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": "arn:aws:events:*:*:rule/AwsDataLifecycleRule.managed-cwe.*"
}
]
}AWSDataLifecycleManagerServiceRoleForAMIManagement
AWSDataLifecycleManagerServiceRoleForAMIManagement 政策為 Amazon Data Lifecycle Manager 提供相應的許可,以建立和管理 Amazon EBS 後端 AMI 政策。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": [
"arn:aws:ec2:*::snapshot/*",
"arn:aws:ec2:*::image/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeImageAttribute",
"ec2:DescribeVolumes",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DeleteSnapshot",
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Effect": "Allow",
"Action": [
"ec2:ResetImageAttribute",
"ec2:DeregisterImage",
"ec2:CreateImage",
"ec2:CopyImage",
"ec2:ModifyImageAttribute"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:EnableImageDeprecation",
"ec2:DisableImageDeprecation"
],
"Resource": "arn:aws:ec2:*::image/*"
}
]
}AWSDataLifecycleManagerSSMFullAccess
提供 Amazon Data Lifecycle Manager 許可,以執行在所有 Amazon EC2 執行個體上執行前置和後置指令碼執行所需的 Systems Manager 動作。
重要
使用前置和後置指令碼時,政策會使用 aws:ResourceTag 條件索引鍵來限制特定 SSM 文件的存取權限。若要允許 Amazon Data Lifecycle Manager 存取 SSM 文件,您必須確保 SSM 文件已用 DLMScriptsAccess:true 標記。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSSMReadOnlyAccess",
"Effect": "Allow",
"Action": [
"ssm:GetCommandInvocation",
"ssm:ListCommands",
"ssm:DescribeInstanceInformation"
],
"Resource": "*"
},
{
"Sid": "AllowTaggedSSMDocumentsOnly",
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:DescribeDocument",
"ssm:GetDocument"
],
"Resource": [
"arn:aws:ssm:*:*:document/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/DLMScriptsAccess": "true"
}
}
},
{
"Sid": "AllowSpecificAWSOwnedSSMDocuments",
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:DescribeDocument",
"ssm:GetDocument"
],
"Resource": [
"arn:aws:ssm:*:*:document/AWSEC2-CreateVssSnapshot",
"arn:aws:ssm:*:*:document/AWSSystemsManagerSAP-CreateDLMSnapshotForSAPHANA"
]
},
{
"Sid": "AllowAllEC2Instances",
"Effect": "Allow",
"Action": [
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
]
}
]
}AWS 受管政策更新
AWS 服務會維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會將其他許可新增至 AWS 受管政策,以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務最有可能更新 AWS 受管政策。服務不會從 AWS 受管政策移除許可,因此政策更新不會破壞您現有的許可。
下表提供有關自此服務開始追蹤 Amazon Data Lifecycle Manager AWS 受管政策更新的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 Amazon EBS 使用者指南的文件歷史記錄 上的 RSS 摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
| AWSDataLifecycleManagerServiceRole — 已更新政策許可。 | Amazon Data Lifecycle Manager 新增了 ec2:DescribeAvailabilityZones動作,以授予快照政策取得 Local Zones 相關資訊的許可。 |
2024 年 12 月 16 日 |
| AWSDataLifecycleManagerSSMFullAccess:更新政策許可。 | 已更新政策,支援為使用 AWSSystemsManagerSAP-CreateDLMSnapshotForSAPHANA SSM 文件的 SAP HANA 建立應用程式一致快照。 |
2023 年 11 月 17 日 |
| AWSDataLifecycleManagerSSMFullAccess — 新增了新的 AWS 受管政策。 | Amazon Data Lifecycle Manager 新增了 AWSDataLifecycleManagerSSMFullAccess AWS 受管政策。 | 2023 年 11 月 7 日 |
| AWSDataLifecycleManagerServiceRole – 已增加支援快照封存的權限。 | Amazon Data Lifecycle Manager 新增了 ec2:ModifySnapshotTier 和 ec2:DescribeSnapshotTierStatus 動作,以授予快照政策封存快照和檢查快照封存狀態的許可。 |
2022 年 9 月 30 日 |
| AWSDataLifecycleManagerServiceRoleForAMIManagement – 已新增許可,以支援 AMI 取代。 | Amazon Data Lifecycle Manager 已新增 ec2:EnableImageDeprecation 和 ec2:DisableImageDeprecation 動作,以授與 EBS 後端 AMI 政策許可,從而啟用和停用 AMI 取代。 |
2021 年 8 月 23 日 |
| Amazon Data Lifecycle Manager 已開始追蹤變更 | Amazon Data Lifecycle Manager 開始追蹤其 AWS 受管政策的變更。 | 2021 年 8 月 23 日 |
