Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizza una policy gestita da IAM per concedere le autorizzazioni per gli snapshot basati su VSS
La policy gestita AWSEC2VssSnapshotPolicy consente a Systems Manager di eseguire le seguenti azioni sull'istanza di Windows:
-
Crea e applica tag agli snapshot EBS
-
Creare ed etichettare Amazon Machine Images (AMIs)
-
collega metadati, come ad esempio l'ID dispositivo, ai tag degli snapshot predefiniti creati da VSS.
In questo argomento vengono illustrati i dettagli delle autorizzazioni per la policy gestita da VSS e come collegarla al ruolo IAM del profilo dell'istanza EC2.
Indice
AWSEC2VssSnapshotPolicy dettagli della politica gestita
Una politica AWS gestita è una politica autonoma che Amazon fornisce ai AWS clienti. AWS le politiche gestite sono progettate per concedere autorizzazioni per casi d'uso comuni. Non è possibile modificare le autorizzazioni definite nelle politiche AWS gestite. Tuttavia, è possibile copiare la policy e utilizzarla come base per una policy gestita dal cliente per il caso d'uso specifico.
Per ulteriori informazioni sulle policy AWS gestite, consulta le policy AWS gestite nella IAM User Guide.
Per utilizzare la policy gestita da AWSEC2VssSnapshotPolicy, puoi collegarla al ruolo IAM associato alle istanze Windows EC2. Questa policy consente alla soluzione VSS EC2 di creare e aggiungere tag ad Amazon Machine Images (AMIs) e EBS Snapshots. Per collegare la policy, consultare Collega la policy gestita degli snapshot VSS al ruolo del profilo dell'istanza.
Autorizzazioni concesse da AWSEC2VssSnapshotPolicy
La policy AWSEC2VssSnapshotPolicy include le seguenti autorizzazioni Amazon EC2 per consentire ad Amazon EC2 di creare e gestire snapshot VSS per tuo conto. Puoi collegare questa policy gestita al ruolo del profilo dell'istanza IAM che usi per le istanze EC2 Windows.
-
ec2: CreateTags — Aggiungi tag agli snapshot EBS e aiuta a identificare e AMIs classificare le risorse.
-
ec2: DescribeInstanceAttribute — Recupera i volumi EBS e le corrispondenti mappature dei dispositivi a blocchi collegati all'istanza di destinazione.
-
ec2: CreateSnapshots — Crea istantanee dei volumi EBS.
-
ec2: CreateImage — Crea un AMI da un'istanza EC2 in esecuzione.
-
ec2: DescribeImages — Recupera le informazioni per EC2 e le istantanee. AMIs
-
ec2: DescribeSnapshots — Determina l'ora e lo stato di creazione delle istantanee per verificare la coerenza dell'applicazione.
Nota
Per vedere le autorizzazioni per questa policy, consulta AWSEC2VssSnapshotPolicy nella Guida di riferimento sulle policy gestite da AWS .
Semplifica le autorizzazioni per casi d'uso specifici: avanzate
La policy gestita AWSEC2VssSnapshotPolicy include le autorizzazioni per tutti i modi in cui è possibile creare snapshot basati su VSS. È possibile creare una policy personalizzata che include solo le autorizzazioni necessarie.
Caso d'uso: creazione di AMI, caso d'uso: AWS Backup servizio di utilizzo
Se si utilizza esclusivamente l'CreateAmiopzione o se si creano istantanee basate su VSS solo tramite il AWS Backup servizio, è possibile semplificare le dichiarazioni politiche come segue.
-
Omettete le dichiarazioni politiche identificate dalla seguente dichiarazione (): IDs SIDs
-
CreateSnapshotsWithTag -
CreateSnapshotsAccessInstance -
CreateSnapshotsAccessVolume
-
-
Modifica l'istruzione
CreateTagsOnResourceCreationcome segue:-
Rimuovi
arn:aws:ec2:*:*:snapshot/*dalle risorse. -
Rimuovi
CreateSnapshotsdalla condizioneec2:CreateAction.
-
-
Modifica l'istruzione
CreateTagsAfterResourceCreationper rimuoverearn:aws:ec2:*:*:snapshot/*dalle risorse. -
Modifica l'istruzione
DescribeImagesAndSnapshotsper rimuovereec2:DescribeSnapshotsdall'azione presente nell'istruzione.
Caso d'uso: solo snapshot
Se non si utilizza l'opzione CreateAmi, è possibile semplificare le istruzioni della policy come segue.
-
Omettete le dichiarazioni politiche identificate dalla seguente dichiarazione IDs ()SIDs:
-
CreateImageAccessInstance -
CreateImageWithTag
-
-
Modifica l'istruzione
CreateTagsOnResourceCreationcome segue:-
Rimuovi
arn:aws:ec2:*:*:image/*dalle risorse. -
Rimuovi
CreateImagedalla condizioneec2:CreateAction.
-
-
Modifica l'istruzione
CreateTagsAfterResourceCreationper rimuoverearn:aws:ec2:*:*:image/*dalle risorse. -
Modifica l'istruzione
DescribeImagesAndSnapshotsper rimuovereec2:DescribeImagesdall'azione presente nell'istruzione.
Nota
Per garantire che la policy personalizzata funzioni come previsto, si consiglia di rivedere e incorporare regolarmente gli aggiornamenti alla policy gestita.
Collega la policy gestita degli snapshot VSS al ruolo del profilo dell'istanza
Per concedere le autorizzazioni per gli snapshot basati su VSS per l'istanza EC2 Windows, puoi collegare la policy gestita da AWSEC2VssSnapshotPolicy al ruolo del profilo dell'istanza come segue. È importante assicurarsi che l'istanza soddisfi tutti i Requisiti di sistema.
Nota
Per utilizzare la policy gestita, sull'istanza deve essere installata la versione 2.3.1 o successiva del pacchetto AwsVssComponents. Per la cronologia delle versioni, consulta AwsVssComponents versioni del pacchetto.
Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel riquadro di navigazione, scegli Ruoli per visualizzare un elenco di ruoli IAM a cui hai accesso.
-
Seleziona il link al Nome ruolo associato all'istanza. Si apre la pagina dei dettagli del ruolo.
-
Per collegare la policy gestita, scegli Aggiungi autorizzazioni, che si trova nell'angolo in alto a destra del pannello dell'elenco. Quindi dall'elenco a discesa seleziona Collega policy.
-
Per semplificare i risultati, inserisci il nome della policy nella barra di ricerca (
AWSEC2VssSnapshotPolicy). -
Seleziona la casella di controllo accanto al nome della policy da collegare, quindi scegli Aggiungi autorizzazioni.
