本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 IAM 控制对 Amazon Data Lifecycle Manager 的访问
<a name="dlm-prerequisites"></a>

Amazon Data Lifecycle Manager 的访问需要凭据。这些证书必须具有访问 Amazon 资源（例如实例、卷、快照和）的权限 AMIs。

使用 Amazon Data Lifecycle Manager 需要以下 IAM 权限。

**注意**  
仅控制台用户需要 `ec2:DescribeAvailabilityZones`、`ec2:DescribeRegions`、`kms:ListAliases` 和 `kms:DescribeKey` 权限。如果不需要访问控制台，则可以删除权限。
*AWSDataLifecycleManagerDefaultRole*角色的 ARN 格式会有所不同，具体取决于它是使用控制台还是使用控制台创建的。 Amazon CLI如果使用控制台创建角色，则 ARN 格式为 `arn:aws:iam::account_id:role/service-role/AWSDataLifecycleManagerDefaultRole`。如果角色是使用创建的 Amazon CLI，则 ARN 格式为。`arn:aws:iam::account_id:role/AWSDataLifecycleManagerDefaultRole`

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "dlm:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::111122223333:role/AWSDataLifecycleManagerDefaultRole",
                "arn:aws:iam::111122223333:role/AWSDataLifecycleManagerDefaultRoleForAMIManagement",
                "arn:aws:iam::111122223333:role/service-role/AWSDataLifecycleManagerDefaultRole",
                "arn:aws:iam::111122223333:role/service-role/AWSDataLifecycleManagerDefaultRoleForAMIManagement"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeRegions",
                "kms:ListAliases",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}
```

------

**加密权限**

使用 Amazon Data Lifecycle Manager 和加密资源时，请考虑以下情况。
+ 如果源卷已加密，请确保 Amazon Data Lifecycle Manager 的默认角色（**AWSDataLifecycleManagerDefaultRole**和 **AWSDataLifecycleManagerDefaultRoleForAMIManagement**）有权使用用于加密卷的 KMS 密钥。
+ 如果您为未加密的快照启用**跨区域复制**或由未加密快照 AMIs 支持的跨区域复制，并选择在目标区域启用加密，请确保默认角色有权使用在目标区域执行加密所需的 KMS 密钥。
+ 如果您为加密快照启用**跨区域复制**或由加密快照 AMIs 支持，请确保默认角色有权同时使用源和目标 KMS 密钥。
+ 如果您为加密快照启用快照存档，请确保 Amazon Data Lifecycle Manager 的默认角色（**AWSDataLifecycleManagerDefaultRole**有权使用用于加密快照的 KMS 密钥）。

有关更多信息，请参阅《Amazon Key Management Service 开发人员指南》**中的 [Allowing users in other accounts to use a KMS key](https://docs.amazonaws.cn//kms/latest/developerguide/key-policy-modifying-external-accounts.html)。

有关更多信息，请参阅《IAM 用户指南》**中的[更改用户权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_users_change-permissions.html)。