Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autorisations IAM pour les API directes EBS
Un utilisateur doit disposer des politiques suivantes pour pouvoir utiliser les API directes EBS. Pour plus d’informations, consultez Modification des autorisations d’un utilisateur.
Pour plus d’informations sur les ressources, les actions et les clés de contexte de condition des API directes EBS à utiliser dans les stratégies d’autorisation IAM, consultez Actions, ressources et clés de condition pour Amazon Elastic Block Store dans la Référence de l’autorisation de service.
Important
Soyez prudent lorsque vous affectez les stratégies suivantes aux utilisateurs . En attribuant ces politiques, vous pouvez donner accès à un utilisateur qui se voit refuser l'accès à la même ressource par le biais des API Amazon EC2, telles que CopySnapshot les CreateVolume actions or.
La politique suivante permet d'utiliser les API directes EBS de lecture sur tous les instantanés d'une région spécifique AWS . Dans la stratégie, remplacez <Region> par la région de l’instantané.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:<Region>::snapshot/*" } ] }
La stratégie suivante permet d’utiliser la lecture API directes EBS sur les instantanés avec une balise clé-valeur spécifique. Dans la stratégie, remplacez <Key> par la valeur de clé de la balise et <Value> par la valeur de la balise.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/<Key>": "<Value>" } } } ] }
La stratégie suivante permet d’utiliser toutes les API directes EBS de lecture sur tous les instantanés du compte uniquement dans une plage de temps spécifique. Cette stratégie autorise l'utilisation du API directes EBS basé sur la clé de condition aws:CurrentTime globale. Dans la politique, veillez à remplacer la plage de dates et d’heures affichée par la plage de dates et d’heures de votre politique.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2018-05-29T00:00:00Z" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z" } } } ] }
Pour plus d’informations, consultez Modification des autorisations d’un utilisateur dans le Guide de l’utilisateur IAM.
La politique suivante permet d'utiliser les API directes EBS d'écriture sur tous les instantanés d'une région spécifique AWS . Dans la stratégie, remplacez <Region> par la région de l’instantané.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:<Region>::snapshot/*" } ] }
La stratégie suivante permet d’utiliser les API directes EBS d’écriture sur les instantanés avec une balise clé-valeur spécifique. Dans la stratégie, remplacez <Key> par la valeur de clé de la balise et <Value> par la valeur de la balise.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/<Key>": "<Value>" } } } ] }
La politique suivante permet l’utilisation de toutes les API directes EBS. Elle n’autorise également l’action StartSnapshot que si un ID d’instantané parent est spécifié. Par conséquent, cette politique bloque la possibilité de démarrer de nouveaux instantanés sans utiliser un instantané parent.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "StringEquals": { "ebs:ParentSnapshot": "arn:aws:ec2:*::snapshot/*" } } } ] }
La politique suivante permet l’utilisation de toutes les API directes EBS. Il permet également de créer uniquement la clé de balise user pour un nouvel instantané. Cette politique garantit également que l’utilisateur dispose de l’accès approprié pour créer des balises. L’action StartSnapshot est la seule action qui peut spécifier des balises.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": "user" } } }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "*" } ] }
La stratégie suivante permet d’utiliser toutes les API directes EBS d’écriture sur tous les instantanés du compte uniquement dans une plage de temps spécifique. Cette stratégie autorise l’utilisation du API directes EBS basé sur la clé de condition aws:CurrentTime globale. Dans la politique, veillez à remplacer la plage de dates et d’heures affichée par la plage de dates et d’heures de votre politique.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2018-05-29T00:00:00Z" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z" } } } ] }
Pour plus d’informations, consultez Modification des autorisations d’un utilisateur dans le Guide de l’utilisateur IAM.
La politique suivante accorde les autorisations permettant de déchiffrer un instantané chiffré à l’aide d’une clé KMS spécifique. Elle permet également de chiffrer de nouveaux instantanés à l’aide de la clé KMS par défaut pour le chiffrement EBS. Dans la politique, remplacez <Region>par la région de la clé KMS, < AccountId > par l'ID du AWS compte associé à la clé KMS et < KeyId > par l'ID de la clé KMS.
Note
Par défaut, tous les principaux du compte ont accès à la clé KMS AWS gérée par défaut pour le chiffrement Amazon EBS, et ils peuvent l'utiliser pour les opérations de chiffrement et de déchiffrement EBS. Si vous utilisez une clé gérée par le client, vous devez créer une nouvelle politique de clé ou modifier la politique de clé existante pour la clé gérée par le client afin d’accorder au principal l’accès à la clé gérée par le client. Pour plus d’informations, consultez Politiques de clé dans AWS KMS dans le Guide du développeur AWS Key Management Service .
Astuce
Pour suivre le principe du moindre privilège, n’autorisez pas l’accès complet à kms:CreateGrant. Utilisez plutôt la clé de kms:GrantIsForAWSResource condition pour autoriser l'utilisateur à créer des autorisations sur la clé KMS uniquement lorsque l'autorisation est créée en son nom par un AWS service, comme indiqué dans l'exemple suivant.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:ReEncrypt*", "kms:CreateGrant", "ec2:CreateTags", "kms:DescribeKey" ], "Resource": "arn:aws:kms:<Region>:<AccountId>:key/<KeyId>", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
Pour plus d’informations, consultez Modification des autorisations d’un utilisateur dans le Guide de l’utilisateur IAM.
