Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Roles de servicio de IAM para Amazon Data Lifecycle Manager
Una función AWS Identity and Access Management (IAM) es similar a la de un usuario, en el sentido de que es una AWS identidad con políticas de permisos que determinan lo que la identidad puede y no puede hacer en AWS ella. No obstante, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier usuario pueda asumir un rol que necesite. Una función de servicio es una función que asume un AWS servicio para realizar acciones en tu nombre. Como un servicio que realiza las operaciones de copia de seguridad en su nombre, Amazon Data Lifecycle Manager requiere transferirle un rol que debe adoptar al realizar las operaciones de políticas en su nombre. Para obtener más información acerca de los roles de IAM, consulte [Roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) en la *guía del usuario de IAM*.
La función que transfiera a Amazon Data Lifecycle Manager debe tener una política de IAM con los permisos que permitan a Amazon Data Lifecycle Manager realizar acciones asociadas a las operaciones de la política, como crear y copiar instantáneas y AMIs AMIs, eliminar instantáneas y anular el registro. AMIs Se requieren permisos diferentes para cada uno de los tipos de política de Amazon Data Lifecycle Manager. Además, el rol también debe incluir a Amazon Data Lifecycle Manager como entidad de confianza, lo que permite a Amazon Data Lifecycle Manager asumir el rol.
**Topics**
+ [Roles de servicio predeterminados de Amazon Data Lifecycle Manager](#default-service-roles)
+ [Roles de servicio personalizadas para Amazon Data Lifecycle Manager](#custom-role)
## Roles de servicio predeterminados de Amazon Data Lifecycle Manager
Amazon Data Lifecycle Manager utiliza las siguientes roles de servicio predeterminadas:
+ **AWSDataLifecycleManagerDefaultRole**: función predeterminada para la gestión de las instantáneas. Solo confía en el servicio `dlm.amazonaws.com` para asumir el rol y permite a Amazon Data Lifecycle Manager realizar las acciones requeridas por las políticas de instantáneas y de copia de instantáneas entre cuentas en su nombre. Este rol usa la política ` AWSDataLifecycleManagerServiceRole` AWS administrada.
**nota**
El formato de ARN del rol varía en función de si se crea mediante la consola o la AWS CLI. Si el rol se crea mediante la consola, el formato de ARN es `arn:aws:iam::{{account_id}}:role/service-role/AWSDataLifecycleManagerDefaultRole`. Si el rol se creó con AWS CLI, el formato ARN es. `arn:aws:iam::{{account_id}}:role/AWSDataLifecycleManagerDefaultRole`
+ **AWSDataLifecycleManagerDefaultRoleForAMIManagement**: función de administración predeterminada. AMIs Solo confía en el servicio `dlm.amazonaws.com` para asumir el rol y permite a Amazon Data Lifecycle Manager realizar las acciones requeridas por las políticas de AMI basadas en EBS en su nombre. Este rol usa la política `AWSDataLifecycleManagerServiceRoleForAMIManagement` AWS gestionada.
Si utiliza la consola Amazon Data Lifecycle Manager, Amazon Data Lifecycle Manager crea automáticamente el rol de **AWSDataLifecycleManagerDefaultRole**servicio la primera vez que crea una política de instantáneas o copias de instantáneas entre cuentas, y crea automáticamente el rol de **AWSDataLifecycleManagerDefaultRoleForAMIManagement**servicio la primera vez que crea una política de AMI respaldada por EBS.
Si no utiliza la consola, puede crear manualmente las funciones de servicio mediante el comando. [create-default-role](https://docs.aws.amazon.com/cli/latest/reference/dlm/create-default-role.html) Para`--resource-type`, especifique `snapshot` si desea crear AWSData LifecycleManagerDefaultRole o `image` crear AWSData LifecycleManagerDefaultRoleForAMIManagement.
```
$ aws dlm create-default-role --resource-type {{snapshot|image}}
```
Si elimina los roles de servicio predeterminados y necesita crearlas de nuevo, puede utilizar el mismo proceso para volver a crearlas en su cuenta.
## Roles de servicio personalizadas para Amazon Data Lifecycle Manager
Como alternativa a la utilización de los roles de servicio predeterminados, puede crear roles de IAM personalizados con los permisos necesarios y seleccionarlos cuando cree una política de ciclo de vida.
**Para crear un rol de IAM personalizado**
1. Cree roles con los siguientes permisos.
+ Permisos requeridos para administrar políticas de ciclo de vida de instantáneas
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateSnapshot",
"ec2:CreateSnapshots",
"ec2:DeleteSnapshot",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ec2:DescribeSnapshots",
"ec2:EnableFastSnapshotRestores",
"ec2:DescribeFastSnapshotRestores",
"ec2:DisableFastSnapshotRestores",
"ec2:CopySnapshot",
"ec2:ModifySnapshotAttribute",
"ec2:DescribeSnapshotAttribute",
"ec2:ModifySnapshotTier",
"ec2:DescribeSnapshotTierStatus",
"ec2:DescribeAvailabilityZones"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:DeleteRule",
"events:DescribeRule",
"events:EnableRule",
"events:DisableRule",
"events:ListTargetsByRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": "arn:aws:events:*:*:rule/AwsDataLifecycleRule.managed-cwe.*"
},
{
"Effect": "Allow",
"Action": [
"ssm:GetCommandInvocation",
"ssm:ListCommands",
"ssm:DescribeInstanceInformation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:DescribeDocument",
"ssm:GetDocument"
],
"Resource": [
"arn:aws:ssm:*:*:document/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/DLMScriptsAccess": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:DescribeDocument",
"ssm:GetDocument"
],
"Resource": [
"arn:aws:ssm:*::document/*"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"StringNotLike": {
"aws:ResourceTag/DLMScriptsAccess": "false"
}
}
}
]
}
```
------
+ Permisos requeridos para administrar políticas de ciclo de vida de AMI
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": [
"arn:aws:ec2:*::snapshot/*",
"arn:aws:ec2:*::image/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeImageAttribute",
"ec2:DescribeVolumes",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DeleteSnapshot",
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Effect": "Allow",
"Action": [
"ec2:ResetImageAttribute",
"ec2:DeregisterImage",
"ec2:CreateImage",
"ec2:CopyImage",
"ec2:ModifyImageAttribute"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:EnableImageDeprecation",
"ec2:DisableImageDeprecation"
],
"Resource": "arn:aws:ec2:*::image/*"
}
]
}
```
------
Para obtener más información, consulte [ Creating a role (Creación de un rol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) en *Guía del usuario de IAM*.
1. Agregue una relación de confianza a los roles.
1. En la consola de IAM, seleccione **Roles**.
1. Selecfucione los roles que ha creado y, a continuación, elija **Trust relationships (Relaciones de confianza)**.
1. Elija **Edit Trust Relationship (Editar relación de confianza)**, añada la siguiente política y después elija **Update Trust Policy (Actualizar política de confianza)**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"Service": "dlm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}]
}
```
------
Le recomendamos que utilice las claves de condición `aws:SourceAccount` y `aws:SourceArn` para protegerse contra el [problema del suplente confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html). Por ejemplo, podría agregar el siguiente bloque de condición a la política de confianza anterior. `aws:SourceAccount` es el propietario de la política de ciclo de vida y `aws:SourceArn` es el ARN de la política del ciclo de vida. Si no conoce el ID de la política del ciclo de vida, puede reemplazar esa parte del ARN por un comodín (`*`) y, a continuación, actualizar la política de confianza después de crear la política del ciclo de vida.
```
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{account_id}}"
},
"ArnLike": {
"aws:SourceArn": "arn:{{partition}}:dlm:{{region}}:{{account_id}}:policy/{{policy_id}}"
}
}
```