Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol akses untuk APIs menggunakan EBS langsung IAM
Pengguna harus memiliki kebijakan berikut untuk menggunakan EBS directAPIs. Untuk informasi selengkapnya, lihat Mengubah izin untuk pengguna.
Untuk informasi selengkapnya tentang APIs sumber daya EBS langsung, tindakan, dan kunci konteks kondisi untuk digunakan dalam kebijakan IAM izin, lihat Kunci tindakan, sumber daya, dan kondisi untuk Amazon Elastic Block Store di Referensi Otorisasi Layanan.
penting
Berhati-hatilah saat menetapkan kebijakan berikut kepada pengguna. Dengan menetapkan kebijakan ini, Anda dapat memberikan akses ke pengguna yang ditolak akses ke sumber daya yang sama melalui Amazon EC2APIs, seperti CopySnapshot atau CreateVolume tindakan.
Kebijakan berikut memungkinkan baca EBS langsung APIs digunakan pada semua snapshot di AWS Wilayah tertentu. Dalam kebijakan, ganti <Region>
Dengan Wilayah dari snapshot.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:
<Region>
::snapshot/*" } ] }
Kebijakan berikut memungkinkan read EBS direct digunakan APIs pada snapshot dengan tag nilai kunci tertentu. Dalam kebijakan, ganti <Key>
Dengan nilai kunci dari tag, dan <Value>
Dengan nilai dari tag.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/
<Key>
": "<Value>
" } } } ] }
Kebijakan berikut memungkinkan semua baca EBS langsung APIs digunakan pada semua snapshot di akun hanya dalam rentang waktu tertentu. Kebijakan ini mengizinkan penggunaan EBS langsung APIs berdasarkan kunci kondisi aws:CurrentTime
global. Dalam kebijakan tersebut, pastikan Anda mengganti rentang tanggal dan waktu yang ditampilkan sesuai rentang tanggal dan waktu untuk kebijakan Anda.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "
2018-05-29T00:00:00Z
" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z
" } } } ] }
Untuk informasi selengkapnya, lihat Mengubah izin untuk pengguna di Panduan IAM Pengguna.
Kebijakan berikut memungkinkan penulisan EBS langsung APIs digunakan pada semua snapshot di AWS Wilayah tertentu. Dalam kebijakan, ganti <Region>
Dengan Wilayah dari snapshot.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:
<Region>
::snapshot/*" } ] }
Kebijakan berikut memungkinkan penulisan EBS langsung digunakan APIs pada snapshot dengan tag nilai kunci tertentu. Dalam kebijakan, ganti <Key>
Dengan nilai kunci dari tag, dan <Value>
Dengan nilai dari tag.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/
<Key>
": "<Value>
" } } } ] }
Kebijakan berikut memungkinkan semua EBS langsung APIs untuk digunakan. Hal ini juga memungkinkan tindakan StartSnapshot
hanya jika ID snapshot induk ditentukan. Oleh karena itu, kebijakan ini memblokir kemampuan untuk memulai snapshot baru menggunakan snapshot induk.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "StringEquals": { "ebs:ParentSnapshot": "arn:aws:ec2:*::snapshot/*" } } } ] }
Kebijakan berikut memungkinkan semua EBS langsung APIs untuk digunakan. Kebijakan tersebut juga hanya memungkinkan kunci tanda user
dibuat untuk snapshot baru. Kebijakan ini juga memastikan bahwa pengguna memiliki akses untuk membuat tanda. Tindakan StartSnapshot
adalah satu-satunya tindakan yang dapat menentukan tanda.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": "user" } } }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "*" } ] }
Kebijakan berikut memungkinkan semua penulisan EBS langsung APIs digunakan pada semua snapshot di akun hanya dalam rentang waktu tertentu. Kebijakan ini mengizinkan penggunaan EBS langsung APIs berdasarkan kunci kondisi aws:CurrentTime
global. Dalam kebijakan tersebut, pastikan Anda mengganti rentang tanggal dan waktu yang ditampilkan sesuai rentang tanggal dan waktu untuk kebijakan Anda.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "
2018-05-29T00:00:00Z
" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z
" } } } ] }
Untuk informasi selengkapnya, lihat Mengubah izin untuk pengguna di Panduan IAM Pengguna.
Kebijakan berikut memberikan izin untuk mendekripsi snapshot terenkripsi menggunakan kunci tertentu. KMS Ini juga memberikan izin untuk mengenkripsi snapshot baru menggunakan KMS kunci default untuk enkripsi. EBS Dalam kebijakan, ganti <Region>
dengan Wilayah KMS kuncinya, <AccountId>
dengan ID AWS akun KMS kunci, dan <KeyId>
dengan ID KMS kunci.
catatan
Secara default, semua prinsipal di akun memiliki akses ke kunci AWS terkelola KMS default untuk EBS enkripsi Amazon, dan mereka dapat menggunakannya untuk operasi EBS enkripsi dan dekripsi. Jika Anda menggunakan kunci yang dikelola pelanggan, Anda harus membuat kebijakan kunci baru atau memodifikasi kebijakan kunci yang ada untuk kunci yang dikelola pelanggan untuk memberi pengguna utama akses utama ke kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat Kebijakan kunci di AWS KMS di Panduan Developer AWS Key Management Service .
Tip
Untuk mengikuti prinsip hak akses paling rendah, jangan biarkan akses penuh ke kms:CreateGrant
. Sebagai gantinya, gunakan tombol kms:GrantIsForAWSResource
kondisi untuk memungkinkan pengguna membuat hibah pada KMS kunci hanya ketika hibah dibuat atas nama pengguna oleh AWS layanan, seperti yang ditunjukkan pada contoh berikut.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:ReEncrypt*", "kms:CreateGrant", "ec2:CreateTags", "kms:DescribeKey" ], "Resource": "arn:aws:kms:
<Region>
:<AccountId>
:key/<KeyId>
", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
Untuk informasi selengkapnya, lihat Mengubah izin untuk pengguna di Panduan IAM Pengguna.