本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Amazon Data Lifecycle Manager 的 受管政策
AWS 受管政策是由 AWS. AWS managed 政策建立和管理的獨立政策,旨在為許多常見使用案例提供許可。 AWS 受管政策可讓您更有效地將適當的許可指派給使用者、群組和角色,而不是您必須自行撰寫政策。
不過,您無法變更 AWS 受管政策中定義的許可。 AWS 偶爾會更新 AWS 受管政策中定義的許可。執行這項動作時,更新會影響政策連接到的所有委託人實體 (使用者、群組和角色)。
Amazon Data Lifecycle Manager 為常見使用案例提供 AWS 受管政策。這些政策可讓您更高效地定義適當的許可,和控制對您的資源的存取。Amazon Data Lifecycle Manager 提供的 AWS 受管政策旨在連接到您傳遞給 Amazon Data Lifecycle Manager 的角色。
主題
AWSDataLifecycleManagerServiceRole
此AWSDataLifecycleManagerServiceRole政策為 Amazon Data Lifecycle Manager 提供適當的許可,以建立和管理 Amazon EBS快照政策和跨帳戶複製事件政策。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateSnapshot", "ec2:CreateSnapshots", "ec2:DeleteSnapshot", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ec2:DescribeSnapshots", "ec2:EnableFastSnapshotRestores", "ec2:DescribeFastSnapshotRestores", "ec2:DisableFastSnapshotRestores", "ec2:CopySnapshot", "ec2:ModifySnapshotAttribute", "ec2:DescribeSnapshotAttribute", "ec2:ModifySnapshotTier", "ec2:DescribeSnapshotTierStatus", "ec2:DescribeAvailabilityZones" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*::snapshot/*" }, { "Effect": "Allow", "Action": [ "events:PutRule", "events:DeleteRule", "events:DescribeRule", "events:EnableRule", "events:DisableRule", "events:ListTargetsByRule", "events:PutTargets", "events:RemoveTargets" ], "Resource": "arn:aws:events:*:*:rule/AwsDataLifecycleRule.managed-cwe.*" } ] }
AWSDataLifecycleManagerServiceRoleForAMIManagement
此AWSDataLifecycleManagerServiceRoleForAMIManagement政策為 Amazon Data Lifecycle Manager 提供適當的許可,以建立和管理 Amazon EBS後端AMI政策。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": [ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*::image/*" ] }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeImageAttribute", "ec2:DescribeVolumes", "ec2:DescribeSnapshots" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:DeleteSnapshot", "Resource": "arn:aws:ec2:*::snapshot/*" }, { "Effect": "Allow", "Action": [ "ec2:ResetImageAttribute", "ec2:DeregisterImage", "ec2:CreateImage", "ec2:CopyImage", "ec2:ModifyImageAttribute" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:EnableImageDeprecation", "ec2:DisableImageDeprecation" ], "Resource": "arn:aws:ec2:*::image/*" } ] }
AWSDataLifecycleManagerSSMFullAccess
提供 Amazon Data Lifecycle Manager 許可,以執行在所有 Amazon EC2執行個體上執行指令碼前和後所需的 Systems Manager 動作。
重要
政策使用 aws:ResourceTag 條件金鑰,限制在使用指令碼前後時存取特定SSM文件。若要允許 Amazon Data Lifecycle Manager 存取SSM文件,您必須確保您的SSM文件已加上 標籤DLMScriptsAccess:true。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSSMReadOnlyAccess", "Effect": "Allow", "Action": [ "ssm:GetCommandInvocation", "ssm:ListCommands", "ssm:DescribeInstanceInformation" ], "Resource": "*" }, { "Sid": "AllowTaggedSSMDocumentsOnly", "Effect": "Allow", "Action": [ "ssm:SendCommand", "ssm:DescribeDocument", "ssm:GetDocument" ], "Resource": [ "arn:aws:ssm:*:*:document/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/DLMScriptsAccess": "true" } } }, { "Sid": "AllowSpecificAWSOwnedSSMDocuments", "Effect": "Allow", "Action": [ "ssm:SendCommand", "ssm:DescribeDocument", "ssm:GetDocument" ], "Resource": [ "arn:aws:ssm:*:*:document/AWSEC2-CreateVssSnapshot", "arn:aws:ssm:*:*:document/AWSSystemsManagerSAP-CreateDLMSnapshotForSAPHANA" ] }, { "Sid": "AllowAllEC2Instances", "Effect": "Allow", "Action": [ "ssm:SendCommand" ], "Resource": [ "arn:aws:ec2:*:*:instance/*" ] } ] }
AWS 受管政策更新
AWS 服務會維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會將其他許可新增至 AWS 受管政策,以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。服務最有可能在新功能啟動或新操作可用時更新 AWS 受管政策。服務不會從 AWS 受管政策移除許可,因此政策更新不會破壞現有的許可。
下表提供有關自此服務開始追蹤這些變更以來 Amazon Data Lifecycle Manager AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 上的RSS摘要Amazon EBS使用者指南的文件歷史記錄。
| 變更 | 描述 | 日期 |
|---|---|---|
| AWSDataLifecycleManagerServiceRole — 已更新政策許可。 | Amazon Data Lifecycle Manager 新增了 ec2:DescribeAvailabilityZones動作,以授予快照政策取得 Local Zones 相關資訊的許可。 |
2024 年 12 月 16 日 |
| AWSDataLifecycleManagerSSMFullAccess — 已更新政策許可。 | 更新政策,以支援SAPHANA使用 AWSSystemsManagerSAP-CreateDLMSnapshotForSAPHANA SSM 文件的應用程式一致性快照。 |
2023 年 11 月 17 日 |
| AWSDataLifecycleManagerSSMFullAccess — 新增了新的 AWS 受管政策。 | Amazon Data Lifecycle Manager 新增了 AWSDataLifecycleManagerSSMFullAccess AWS 受管政策。 | 2023 年 11 月 7 日 |
| AWSDataLifecycleManagerServiceRole — 新增支援快照封存的許可。 | Amazon Data Lifecycle Manager 新增了 ec2:ModifySnapshotTier 和 ec2:DescribeSnapshotTierStatus 動作,以授予快照政策封存快照和檢查快照封存狀態的許可。 |
2022 年 9 月 30 日 |
| AWSDataLifecycleManagerServiceRoleForAMIManagement — 新增支援AMI取代的許可。 | Amazon Data Lifecycle Manager 新增了 ec2:EnableImageDeprecation和 ec2:DisableImageDeprecation動作,以授予 EBS後端AMI政策許可,以啟用和停用AMI取代。 |
2021 年 8 月 23 日 |
| Amazon Data Lifecycle Manager 已開始追蹤變更 | Amazon Data Lifecycle Manager 開始追蹤其 AWS 受管政策的變更。 | 2021 年 8 月 23 日 |
