Steuern Sie den Zugriff auf Amazon EBS Snapshot Lock

Standardmäßig sind Benutzer nicht dazu berechtigt, mit Snapshot-Sperren zu arbeiten. Um die Verwendung von Snapshot-Sperren für Benutzer zuzulassen, müssen Sie IAM-Richtlinien erstellen, die die Berechtigung zur Verwendung bestimmter Ressourcen und API-Aktionen gewähren. Weitere Informationen finden Sie unter Erstellen von IAM-Richtlinien im IAM-Benutzerhandbuch.

Erforderliche Berechtigungen

Für das Arbeiten mit Snapshot-Sperren benötigen Benutzer die folgenden Berechtigungen.

• ec2:LockSnapshot – Zum Sperren von Snapshots.

• ec2:UnlockSnapshot – Zum Entsperren von Snapshots.

• ec2:DescribeLockedSnapshots – Zum Anzeigen der Einstellungen für die Snapshot-Sperre.

Im Folgenden finden Sie ein Beispiel für eine IAM-Richtlinie, die Benutzern die Berechtigung zum Sperren und Entsperren von Snapshots sowie zum Anzeigen der Einstellungen der Snapshot-Sperre gewährt. Es umfasst die ec2:DescribeSnapshots-Berechtigung für Konsolenbenutzer. Werden einige Berechtigungen nicht benötigt, können Sie sie aus der Richtlinie entfernen.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "ec2:LockSnapshot",
            "ec2:UnlockSnapshot",
            "ec2:DescribeLockedSnapshots",
            "ec2:DescribeSnapshots"
        ]
    }]
}

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

• Benutzer und Gruppen in AWS IAM Identity Center:

  Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.

• Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:

  Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen im IAM-Benutzerhandbuch.

• IAM-Benutzer:

  • Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter Eine Rolle für einen IAM-Benutzer erstellen im IAM-Benutzerhandbuch.

  • (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter Hinzufügen von Berechtigungen zu einem Benutzer (Konsole) im IAM-Benutzerhandbuch.

Beschränken des Zugriffs mit Bedingungsschlüsseln

Mit Bedingungsschlüsseln können Sie einschränken, wie Benutzer Snapshots sperren dürfen.

Themen

• ec2: SnapshotLockDuration

• ec2: CoolOffPeriod

ec2: SnapshotLockDuration

Sie können den Bedingungsschlüssel ec2:SnapshotLockDuration verwenden, um Benutzer beim Sperren von Snapshots auf eine bestimmte Sperrdauer zu beschränken.

Die folgende Beispielrichtlinie schränkt die Angabe einer Sperrdauer durch Benutzer auf eine Dauer zwischen 10 und 50 Tagen ein.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:LockSnapshot",
      "Resource": "arn:aws:ec2:region::snapshot/*"
      "Condition": {
        "NumericGreaterThan" : {
          "ec2:SnapshotLockDuration" : 10
        }
        "NumericLessThan":{ 
          "ec2:SnapshotLockDuration": 50
        }
      }
    }
  ]
}

ec2: CoolOffPeriod

Sie können den Bedingungsschlüssel ec2:CoolOffPeriod verwenden, um zu verhindern, dass Benutzer Snapshots im Compliance-Modus ohne Sperrfrist sperren.

Die folgende Beispielrichtlinie verhindert, dass Benutzer beim Sperren von Snapshots im Compliance-Modus eine Sperrfrist von mehr als 48 Stunden angeben.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:LockSnapshot",
      "Resource": "arn:aws:ec2:region::snapshot/*"
      "Condition": {
        "NumericGreaterThan": {
          "ec2:CoolOffPeriod": 48
        }
      }
    }
  ]
}