本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 IAM 控制对 Amazon Data Lifecycle Manager 的访问
Amazon Data Lifecycle Manager 的访问需要凭据。这些证书必须具有访问 Amazon 资源(例如实例、卷、快照和)的权限 AMIs。
使用 Amazon Data Lifecycle Manager 需要以下 IAM 权限。
注意
-
仅控制台用户需要
ec2:DescribeAvailabilityZones、ec2:DescribeRegions、kms:ListAliases和kms:DescribeKey权限。如果不需要访问控制台,则可以删除权限。 -
AWSDataLifecycleManagerDefaultRole角色的 ARN 格式会有所不同,具体取决于它是使用控制台还是使用控制台创建的。 Amazon CLI如果使用控制台创建角色,则 ARN 格式为
arn:aws:iam::。如果角色是使用创建的 Amazon CLI,则 ARN 格式为。account_id:role/service-role/AWSDataLifecycleManagerDefaultRolearn:aws:iam::account_id:role/AWSDataLifecycleManagerDefaultRole
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "dlm:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::accound_id:role/AWSDataLifecycleManagerDefaultRole", "arn:aws:iam::accound_id:role/AWSDataLifecycleManagerDefaultRoleForAMIManagement", "arn:aws:iam::accound_id:role/service-role/AWSDataLifecycleManagerDefaultRole", "arn:aws:iam::accound_id:role/service-role/AWSDataLifecycleManagerDefaultRoleForAMIManagement" ] }, { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeAvailabilityZones", "ec2:DescribeRegions", "kms:ListAliases", "kms:DescribeKey" ], "Resource": "*" } ] }
加密权限
使用 Amazon Data Lifecycle Manager 和加密资源时,请考虑以下情况。
-
如果源卷已加密,请确保 Amazon Data Lifecycle Manager 的默认角色(AWSDataLifecycleManagerDefaultRole和 AWSDataLifecycleManagerDefaultRoleForAMIManagement)有权使用用于加密卷的 KMS 密钥。
-
如果您为未加密的快照启用跨区域复制或由未加密快照 AMIs 支持的跨区域复制,并选择在目标区域启用加密,请确保默认角色有权使用在目标区域执行加密所需的 KMS 密钥。
-
如果您为加密快照启用跨区域复制或由加密快照 AMIs 支持,请确保默认角色有权同时使用源和目标 KMS 密钥。
-
如果您为加密快照启用快照存档,请确保 Amazon Data Lifecycle Manager 的默认角色(AWSDataLifecycleManagerDefaultRole有权使用用于加密快照的 KMS 密钥)。
有关更多信息,请参阅 Amazon Key Management Service 开发人员指南中的允许其他账户中的用户使用 KMS 密钥。
有关更多信息,请参阅《IAM 用户指南》中的更改用户权限。