IAMIzin yang diperlukan untuk mengarsipkan snapshot Amazon EBS - Amazon EBS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

IAMIzin yang diperlukan untuk mengarsipkan snapshot Amazon EBS

Secara default, pengguna tidak memiliki izin untuk menggunakan pengarsipan snapshot. Untuk memungkinkan pengguna menggunakan pengarsipan snapshot, Anda harus membuat IAM kebijakan yang memberikan izin untuk menggunakan sumber daya dan API tindakan tertentu. Untuk informasi selengkapnya, lihat Membuat IAM kebijakan di Panduan IAM Pengguna.

Untuk menggunakan pengarsipan snapshot, pengguna memerlukan izin berikut.

  • ec2:DescribeSnapshotTierStatus

  • ec2:ModifySnapshotTier

  • ec2:RestoreSnapshotTier

Pengguna konsol mungkin memerlukan izin tambahan seperti ec2:DescribeSnapshots.

Untuk mengarsipkan dan memulihkan snapshot terenkripsi, AWS KMS izin tambahan berikut diperlukan.

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

Berikut ini adalah contoh IAM kebijakan yang memberi IAM pengguna izin untuk mengarsipkan, memulihkan, dan melihat snapshot terenkripsi dan tidak terenkripsi. Ini termasuk izin ec2:DescribeSnapshots untuk pengguna konsol. Jika beberapa izin tidak diperlukan, Anda dapat menghapusnya dari kebijakan.

Tip

Untuk mengikuti prinsip hak akses paling rendah, jangan biarkan akses penuh ke kms:CreateGrant. Sebagai gantinya, gunakan tombol kms:GrantIsForAWSResource kondisi untuk memungkinkan pengguna membuat hibah pada KMS kunci hanya ketika hibah dibuat atas nama pengguna oleh AWS layanan, seperti yang ditunjukkan pada contoh berikut.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeSnapshotTierStatus", "ec2:ModifySnapshotTier", "ec2:RestoreSnapshotTier", "ec2:DescribeSnapshots", "kms:CreateGrant", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } }] }

Untuk memberikan akses, menambahkan izin ke pengguna, grup, atau peran Anda: