Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kontrol akses ke API langsung EBS menggunakan IAM
Seorang pengguna harus memiliki kebijakan berikut untuk menggunakan API langsung EBS. Untuk informasi selengkapnya, lihat [Mengubah izin untuk pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html).
Untuk informasi selengkapnya tentang sumber daya, tindakan, dan kunci konteks syarat API langsung EBS untuk digunakan dalam kebijakan izin IAM, lihat [Tindakan, sumber daya, dan kunci syarat untuk Amazon Elastic Block Store](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticblockstore.html) di *Referensi Otorisasi Layanan*.
**penting**
Berhati-hatilah saat menetapkan kebijakan berikut kepada pengguna. Dengan menetapkan kebijakan ini, Anda dapat memberikan akses ke pengguna yang ditolak akses ke sumber daya yang sama melalui API Amazon EC2, seperti CopySnapshot tindakan atau. CreateVolume
## Izin untuk membaca snapshot
Kebijakan berikut memungkinkan API langsung EBS *baca* digunakan pada semua snapshot di Wilayah tertentu AWS . Dalam kebijakan, ganti {{}} dengan Wilayah snapshot.
Kebijakan berikut mengizinkan *pembacaan* API langsung EBS untuk digunakan pada snapshot dengan tanda nilai kunci tertentu. Dalam kebijakan, ganti {{}} dengan nilai kunci tag, dan {{}} dengan nilai tag.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:ListChangedBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"StringEqualsIgnoreCase": {
"aws:ResourceTag/{{}}": "{{}}"
}
}
}
]
}
```
------
Kebijakan berikut mengizinkan semua *pembacaan* API langsung EBS untuk digunakan pada semua snapshot dalam akun tersebut hanya pada rentang waktu tertentu. Kebijakan ini mengizinkan penggunaan API langsung EBS berdasarkan pada kunci syarat global `aws:CurrentTime`. Dalam kebijakan tersebut, pastikan Anda mengganti rentang tanggal dan waktu yang ditampilkan sesuai rentang tanggal dan waktu untuk kebijakan Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:ListChangedBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"DateGreaterThan": {
"aws:CurrentTime": "{{2018-05-29T00:00:00Z}}"
},
"DateLessThan": {
"aws:CurrentTime": "{{2020-05-29T23:59:59Z}}"
}
}
}
]
}
```
------
Untuk informasi selengkapnya, lihat [Mengubah izin untuk pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) pada *Panduan Pengguna IAM*.
## Izin untuk menulis snapshot
Kebijakan berikut memungkinkan API langsung EBS *tulis* digunakan pada semua snapshot di Wilayah tertentu AWS . Dalam kebijakan, ganti {{}} dengan Wilayah snapshot.
Kebijakan berikut mengizinkan *penulisan* API langsung EBS untuk digunakan pada snapshot dengan tanda nilai kunci tertentu. Dalam kebijakan, ganti {{}} dengan nilai kunci tag, dan {{}} dengan nilai tag.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ebs:StartSnapshot",
"ebs:PutSnapshotBlock",
"ebs:CompleteSnapshot"
],
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"StringEqualsIgnoreCase": {
"aws:ResourceTag/{{}}": "{{}}"
}
}
}
]
}
```
------
Kebijakan berikut mengizinkan seluruh API langsung EBS untuk digunakan. Hal ini juga memungkinkan tindakan `StartSnapshot` hanya jika ID snapshot induk ditentukan. Oleh karena itu, kebijakan ini memblokir kemampuan untuk memulai snapshot baru menggunakan snapshot induk.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ebs:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"ebs:ParentSnapshot": "arn:aws:ec2:*::snapshot/*"
}
}
}
]
}
```
------
Kebijakan berikut mengizinkan seluruh API langsung EBS untuk digunakan. Kebijakan tersebut juga hanya memungkinkan kunci tanda `user` dibuat untuk snapshot baru. Kebijakan ini juga memastikan bahwa pengguna memiliki akses untuk membuat tanda. Tindakan `StartSnapshot` adalah satu-satunya tindakan yang dapat menentukan tanda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ebs:*",
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": "user"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "*"
}
]
}
```
------
Kebijakan berikut mengizinkan semua *penulisan* API langsung EBS untuk digunakan pada semua snapshot dalam akun tersebut hanya pada rentang waktu tertentu. Kebijakan ini mengizinkan penggunaan API langsung EBS berdasarkan pada kunci syarat global `aws:CurrentTime`. Dalam kebijakan tersebut, pastikan Anda mengganti rentang tanggal dan waktu yang ditampilkan sesuai rentang tanggal dan waktu untuk kebijakan Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ebs:StartSnapshot",
"ebs:PutSnapshotBlock",
"ebs:CompleteSnapshot"
],
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"DateGreaterThan": {
"aws:CurrentTime": "{{2018-05-29T00:00:00Z}}"
},
"DateLessThan": {
"aws:CurrentTime": "{{2020-05-29T23:59:59Z}}"
}
}
}
]
}
```
------
Untuk informasi selengkapnya, lihat [Mengubah izin untuk pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) pada *Panduan Pengguna IAM*.
## Izin untuk digunakan AWS KMS keys
Kebijakan berikut memberikan izin untuk mendekripsi snapshot terenkripsi menggunakan kunci KMS tertentu. Kebijakan ini juga memberikan izin untuk mengenkripsi snapshot baru menggunakan kunci KMS default untuk enkripsi EBS. Dalam kebijakan, ganti {{}} dengan wilayah kunci KMS, {{}} dengan ID AWS akun kunci KMS, dan {{}} dengan ID kunci KMS.
**catatan**
Secara default, semua prinsipal di akun memiliki akses ke kunci KMS AWS terkelola default untuk enkripsi Amazon EBS, dan mereka dapat menggunakannya untuk operasi enkripsi dan dekripsi EBS. Jika Anda menggunakan kunci yang dikelola pelanggan, Anda harus membuat kebijakan kunci baru atau memodifikasi kebijakan kunci yang ada untuk kunci yang dikelola pelanggan untuk memberi pengguna utama akses utama ke kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat [Kebijakan kunci di AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) di *Panduan Developer AWS Key Management Service *.
**Tip**
Untuk mengikuti prinsip hak akses paling rendah, jangan biarkan akses penuh ke `kms:CreateGrant`. Sebagai gantinya, gunakan tombol `kms:GrantIsForAWSResource` kondisi untuk memungkinkan pengguna membuat hibah pada kunci KMS hanya ketika hibah dibuat atas nama pengguna oleh AWS layanan, seperti yang ditunjukkan pada contoh berikut.
Untuk informasi selengkapnya, lihat [Mengubah izin untuk pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) pada *Panduan Pengguna IAM*.