Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Izin IAM untuk API langsung EBS
Seorang pengguna harus memiliki kebijakan berikut untuk menggunakan API langsung EBS. Untuk informasi selengkapnya, lihat Mengubah izin untuk pengguna.
Untuk informasi selengkapnya tentang sumber daya, tindakan, dan kunci konteks syarat API langsung EBS untuk digunakan dalam kebijakan izin IAM, lihat Tindakan, sumber daya, dan kunci syarat untuk Amazon Elastic Block Store di Referensi Otorisasi Layanan.
penting
Berhati-hatilah saat menetapkan kebijakan berikut kepada pengguna. Dengan menetapkan kebijakan ini, Anda dapat memberikan akses ke pengguna yang ditolak akses ke sumber daya yang sama melalui API Amazon EC2, seperti CopySnapshot tindakan atau. CreateVolume
Kebijakan berikut memungkinkan API langsung EBS baca digunakan pada semua snapshot di Wilayah tertentu AWS . Dalam kebijakan, ganti <Wilayah> dengan Wilayah dari snapshot.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:<Region>::snapshot/*" } ] }
Kebijakan berikut mengizinkan pembacaan API langsung EBS untuk digunakan pada snapshot dengan tanda nilai kunci tertentu. Dalam kebijakan, ganti <Kunci> dengan nilai kunci dari tanda, dan <Nilai> dengan nilai dari tanda.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/<Key>": "<Value>" } } } ] }
Kebijakan berikut mengizinkan semua pembacaan API langsung EBS untuk digunakan pada semua snapshot dalam akun tersebut hanya pada rentang waktu tertentu. Kebijakan ini mengizinkan penggunaan API langsung EBS berdasarkan pada kunci syarat global aws:CurrentTime. Dalam kebijakan tersebut, pastikan Anda mengganti rentang tanggal dan waktu yang ditampilkan sesuai rentang tanggal dan waktu untuk kebijakan Anda.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2018-05-29T00:00:00Z" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z" } } } ] }
Untuk informasi selengkapnya, lihat Mengubah izin untuk pengguna pada Panduan Pengguna IAM.
Kebijakan berikut memungkinkan API langsung EBS tulis digunakan pada semua snapshot di Wilayah tertentu AWS . Dalam kebijakan, ganti <Wilayah> dengan Wilayah dari snapshot.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:<Region>::snapshot/*" } ] }
Kebijakan berikut mengizinkan penulisan API langsung EBS untuk digunakan pada snapshot dengan tanda nilai kunci tertentu. Dalam kebijakan, ganti <Kunci> Dengan nilai kunci dari tanda, dan <Nilai> dengan nilai dari tanda.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/<Key>": "<Value>" } } } ] }
Kebijakan berikut mengizinkan seluruh API langsung EBS untuk digunakan. Hal ini juga memungkinkan tindakan StartSnapshot hanya jika ID snapshot induk ditentukan. Oleh karena itu, kebijakan ini memblokir kemampuan untuk memulai snapshot baru menggunakan snapshot induk.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "StringEquals": { "ebs:ParentSnapshot": "arn:aws:ec2:*::snapshot/*" } } } ] }
Kebijakan berikut mengizinkan seluruh API langsung EBS untuk digunakan. Kebijakan tersebut juga hanya memungkinkan kunci tanda user dibuat untuk snapshot baru. Kebijakan ini juga memastikan bahwa pengguna memiliki akses untuk membuat tanda. Tindakan StartSnapshot adalah satu-satunya tindakan yang dapat menentukan tanda.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": "user" } } }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "*" } ] }
Kebijakan berikut mengizinkan semua penulisan API langsung EBS untuk digunakan pada semua snapshot dalam akun tersebut hanya pada rentang waktu tertentu. Kebijakan ini mengizinkan penggunaan API langsung EBS berdasarkan pada kunci syarat global aws:CurrentTime. Dalam kebijakan tersebut, pastikan Anda mengganti rentang tanggal dan waktu yang ditampilkan sesuai rentang tanggal dan waktu untuk kebijakan Anda.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2018-05-29T00:00:00Z" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z" } } } ] }
Untuk informasi selengkapnya, lihat Mengubah izin untuk pengguna pada Panduan Pengguna IAM.
Kebijakan berikut memberikan izin untuk mendekripsi snapshot terenkripsi menggunakan kunci KMS tertentu. Kebijakan ini juga memberikan izin untuk mengenkripsi snapshot baru menggunakan kunci KMS default untuk enkripsi EBS. Dalam kebijakan, ganti <Region>dengan Region kunci KMS, < AccountId > dengan ID AWS akun kunci KMS, dan < KeyId > dengan ID kunci KMS.
catatan
Secara default, semua prinsipal di akun memiliki akses ke kunci KMS AWS terkelola default untuk enkripsi Amazon EBS, dan mereka dapat menggunakannya untuk operasi enkripsi dan dekripsi EBS. Jika Anda menggunakan kunci yang dikelola pelanggan, Anda harus membuat kebijakan kunci baru atau memodifikasi kebijakan kunci yang ada untuk kunci yang dikelola pelanggan untuk memberi pengguna utama akses utama ke kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat Kebijakan kunci di AWS KMS di Panduan Developer AWS Key Management Service .
Tip
Untuk mengikuti prinsip hak akses paling rendah, jangan biarkan akses penuh ke kms:CreateGrant. Sebagai gantinya, gunakan tombol kms:GrantIsForAWSResource kondisi untuk memungkinkan pengguna membuat hibah pada kunci KMS hanya ketika hibah dibuat atas nama pengguna oleh AWS layanan, seperti yang ditunjukkan pada contoh berikut.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:ReEncrypt*", "kms:CreateGrant", "ec2:CreateTags", "kms:DescribeKey" ], "Resource": "arn:aws:kms:<Region>:<AccountId>:key/<KeyId>", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
Untuk informasi selengkapnya, lihat Mengubah izin untuk pengguna pada Panduan Pengguna IAM.
