Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
IAM-Berechtigungen für EBS-Direct-APIs
Ein Benutzer muss über die folgenden Richtlinien verfügen, um die direkten EBS-APIs verwenden zu können. Weitere Informationen finden Sie unter Ändern von Berechtigungen für einen Benutzer.
Weitere Informationen zu EBS-Direct-API-Ressourcen, -Aktionen und -Bedingungskontextschlüsseln für die Verwendung in IAM-Berechtigungsrichtlinien finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Elastic Block Store in der Service-Authorization-Referenz.
Wichtig
Seien Sie vorsichtig, wenn Sie den -Benutzern die folgenden Richtlinien zuweisen. Durch die Zuweisung dieser Richtlinien können Sie einem Benutzer Zugriff gewähren, dem der Zugriff auf dieselbe Ressource über die Amazon EC2 EC2-APIs verweigert wird, z. B. die Aktionen CopySnapshot oder CreateVolume .
Die folgende Richtlinie ermöglicht die Verwendung der direkten EBS-Read-APIs für alle Snapshots in einer bestimmten Region. AWS Ersetzen Sie in der Richtlinie <Region> durch die Region des Snapshots.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:<Region>::snapshot/*" } ] }
Mit der folgenden Richtlinie kann der Lese-EBS-Direct-APIs für Snapshots mit einem bestimmten Schlüssel-Wert-Tag (Markierung) verwendet werden. Ersetzen Sie in der Richtlinie <Key> durch den Schlüsselwert des Tags (Markierung) und <Value> durch den Wert des Tags (Markierung).
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/<Key>": "<Value>" } } } ] }
Mit der folgenden Richtlinie können alle Lesevorgänge in EBS-Direct-APIs für alle Snapshots im Konto nur innerhalb eines bestimmten Zeitraums verwendet werden. Diese Richtlinie autorisiert die Verwendung des EBS-Direct-APIs auf der Basis des globalen Bedingungsschlüssels aws:CurrentTime. Stellen Sie sicher, dass Sie in der Richtlinie den angezeigten Datums- und Zeitbereich durch den Datums- und Zeitbereich für Ihre Richtlinie ersetzen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2018-05-29T00:00:00Z" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z" } } } ] }
Weitere Informationen finden Sie unter Ändern von Berechtigungen für einen Benutzer im IAM-Benutzerhandbuch.
Die folgende Richtlinie ermöglicht die Verwendung der direkten EBS-Schreib-APIs für alle Snapshots in einer bestimmten Region. AWS Ersetzen Sie in der Richtlinie <Region> durch die Region des Snapshots.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:<Region>::snapshot/*" } ] }
Mit der folgenden Richtlinie kann der Schreib-EBS-Direct-APIs für Snapshots mit einem bestimmten Schlüssel-Werte-Tag (Markierung) verwendet werden. Ersetzen Sie in der Richtlinie <Key> durch den Schlüsselwert des Tags (Markierung) und <Value> durch den Wert des Tags (Markierung).
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/<Key>": "<Value>" } } } ] }
Mit der folgenden Richtlinie kann der gesamte EBS-Direct-APIs verwendet werden. Sie lässt darüber hinaus die Aktion StartSnapshot nur zu, wenn eine übergeordnete Snapshot-ID angegeben ist. Daher blockiert diese Richtlinie das Starten neuer Snapshots ohne Verwendung eines übergeordneten Snapshots.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "StringEquals": { "ebs:ParentSnapshot": "arn:aws:ec2:*::snapshot/*" } } } ] }
Mit der folgenden Richtlinie kann der gesamte EBS-Direct-APIs verwendet werden. Sie lässt außerdem für einen neuen Snapshot ausschließlich die Erstellung des Tag (Markierung)-Schlüssels user zu. Diese Richtlinie stellt darüber hinaus sicher, dass der Benutzer Tags (Markierungen) erstellen kann. Die Aktion StartSnapshot ist die einzige Aktion, die Tags angeben kann.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": "user" } } }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "*" } ] }
Mit der folgenden Richtlinie kann der gesamte Schreib-EBS-Direct-APIs für alle Snapshots im Konto nur innerhalb eines bestimmten Zeitraums verwendet werden. Diese Richtlinie autorisiert die Verwendung des EBS-Direct-APIs auf der Basis des globalen Bedingungsschlüssels aws:CurrentTime. Stellen Sie sicher, dass Sie in der Richtlinie den angezeigten Datums- und Zeitbereich durch den Datums- und Zeitbereich für Ihre Richtlinie ersetzen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2018-05-29T00:00:00Z" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z" } } } ] }
Weitere Informationen finden Sie unter Ändern von Berechtigungen für einen Benutzer im IAM-Benutzerhandbuch.
Die folgende Richtlinie gewährt die Berechtigung zum Entschlüsseln eines verschlüsselten Snapshots mithilfe einer spezifischen Verschlüsselung. Sie erteilt auch die Berechtigung, neue Snapshots mit dem standardmäßigen KMS-Schlüssel für die EBS-Verschlüsselung zu verschlüsseln. <Region>Ersetzen Sie in der Richtlinie durch die Region des KMS-Schlüssels, < AccountId > durch die ID des AWS Kontos des KMS-Schlüssels und < KeyId > durch die ID des KMS-Schlüssels.
Anmerkung
Standardmäßig haben alle Principals im Konto Zugriff auf den standardmäßigen AWS verwalteten KMS-Schlüssel für die Amazon EBS-Verschlüsselung und können ihn für EBS-Verschlüsselungs- und Entschlüsselungsvorgänge verwenden. Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden, müssen Sie eine neue Schlüsselrichtlinie erstellen oder die vorhandene Schlüsselrichtlinie für den vom Kunden verwalteten Schlüssel ändern, um dem Prinzipal Zugriff auf den vom Kunden verwalteten Schlüssel zu gewähren. Weitere Informationen finden Sie unter Schlüsselrichtlinien in AWS KMS im Entwicklerhandbuch für AWS Key Management Service .
Tipp
Um den Grundsatz der Erteilung der geringsten erforderlichen Berechtigungen zu befolgen, lassen Sie den vollständigen Zugriff auf kms:CreateGrant nicht zu. Verwenden Sie stattdessen den kms:GrantIsForAWSResource Bedingungsschlüssel, damit der Benutzer nur dann Berechtigungen für den KMS-Schlüssel erstellen kann, wenn der Zuschuss im Namen des Benutzers von einem AWS Dienst erstellt wird, wie im folgenden Beispiel gezeigt.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:ReEncrypt*", "kms:CreateGrant", "ec2:CreateTags", "kms:DescribeKey" ], "Resource": "arn:aws:kms:<Region>:<AccountId>:key/<KeyId>", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
Weitere Informationen finden Sie unter Ändern von Berechtigungen für einen Benutzer im IAM-Benutzerhandbuch.
