Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Autorizzazioni IAM per le API dirette EBS
Per poter utilizzare le API dirette EBS, un utente deve disporre delle policy indicate di seguito. Per ulteriori informazioni, consulta Modifica delle autorizzazioni per un utente.
Per ulteriori informazioni sulle risorse, le operazioni e le chiavi di contesto delle API dirette di EBS da usare nelle policy di autorizzazione IAM, vedi Operazioni, risorse e chiavi di condizione per Amazon Elastic Block Store nell aDocumentazione di riferimento Autorizzazione dei servizi.
Importante
Presta attenzione quando assegni le seguenti policy agli utenti . Assegnando queste policy, potresti consentire l'accesso a un utente a cui viene negato l'accesso alla stessa risorsa tramite le API di Amazon EC2, come CopySnapshot le azioni o. CreateVolume
La seguente policy consente di utilizzare le API EBS Direct di lettura su tutte le istantanee in una regione specifica. AWS Nella policy sostituisci <Region> con la regione dello snapshot.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:<Region>::snapshot/*" } ] }
La policy seguente consente di utilizzare le API dirette EBS di lettura negli snapshot con un tag chiave-valore specifico. Nella policy, sostituisci <Key> con il valore di chiave del tag e <Value> con il valore del tag.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/<Key>": "<Value>" } } } ] }
La policy seguente consente di utilizzare tutte le API dirette EBS di lettura su tutti gli snapshot dell'account solo entro un intervallo di tempo specifico. Questa policy autorizza l'utilizzo delle API dirette EBS in base alla chiave condizione globale aws:CurrentTime. Nella policy, sostituisci l'intervallo di data e ora visualizzato con l'intervallo di data e ora per la policy.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2018-05-29T00:00:00Z" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z" } } } ] }
Per ulteriori informazioni, consulta Modifica delle autorizzazioni per un utente IAM nella Guida per l'utente IAM.
La seguente politica consente di utilizzare le API di scrittura EBS direct su tutte le istantanee in una regione specifica. AWS Nella policy sostituisci <Region> con la regione dello snapshot.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:<Region>::snapshot/*" } ] }
La policy seguente consente di utilizzare le API dirette EBS di scrittura negli snapshot con un tag chiave-valore specifico. Nella policy, sostituisci <Key> con il valore di chiave del tag e <Value> con il valore del tag.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/<Key>": "<Value>" } } } ] }
La policy seguente consente di utilizzare tutte le API dirette EBS. Consente inoltre l'operazione StartSnapshot solo se viene specificato un ID snapshot padre. Pertanto, questa policy blocca la possibilità di avviare nuovi snapshot se non si specifica uno snapshot padre.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "StringEquals": { "ebs:ParentSnapshot": "arn:aws:ec2:*::snapshot/*" } } } ] }
La policy seguente consente di utilizzare tutte le API dirette EBS. Consente inoltre di creare la chiave di tag user per un nuovo snapshot. Questa policy garantisce inoltre che l'utente abbia accesso alla creazione di tag. L'operazione StartSnapshot è l'unica in grado di specificare i tag.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": "user" } } }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "*" } ] }
La policy seguente consente di utilizzare tutte le API dirette EBS di scrittura su tutti gli snapshot dell'account solo entro un intervallo di tempo specifico. Questa policy autorizza l'utilizzo delle API dirette EBS in base alla chiave condizione globale aws:CurrentTime. Nella policy, sostituisci l'intervallo di data e ora visualizzato con l'intervallo di data e ora per la policy.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2018-05-29T00:00:00Z" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z" } } } ] }
Per ulteriori informazioni, consulta Modifica delle autorizzazioni per un utente IAM nella Guida per l'utente IAM.
La policy seguente concede l'autorizzazione per decrittografare uno snapshot crittografato utilizzando una chiave KMS specifica. Garantisce inoltre l'autorizzazione per crittografare nuovi snapshot usando la chiave KMS di default per la crittografia EBS. Nella politica, sostituisci <Region>con la regione della chiave KMS, < AccountId > con l'ID dell' AWS account della chiave KMS e < KeyId > con l'ID della chiave KMS.
Nota
Per impostazione predefinita, tutti i responsabili dell'account hanno accesso alla chiave KMS AWS gestita predefinita per la crittografia Amazon EBS e possono utilizzarla per le operazioni di crittografia e decrittografia EBS. Se usi una chiave gestita dal cliente, devi creare una nuova policy della chiave o modificare la politica della chiave esistente per la chiave gestita dal cliente, per consentire all'entità principale di accedervi. Per ulteriori informazioni, consulta Policy delle chiavi in AWS KMS nella Guida per gli sviluppatori di AWS Key Management Service .
Suggerimento
Per seguire il principio del privilegio minimo, non consentire l'accesso completo a kms:CreateGrant. Utilizza invece la chiave kms:GrantIsForAWSResource condition per consentire all'utente di creare concessioni sulla chiave KMS solo quando la concessione viene creata per conto dell'utente da un AWS servizio, come mostrato nell'esempio seguente.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:ReEncrypt*", "kms:CreateGrant", "ec2:CreateTags", "kms:DescribeKey" ], "Resource": "arn:aws:kms:<Region>:<AccountId>:key/<KeyId>", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
Per ulteriori informazioni, consulta Modifica delle autorizzazioni per un utente IAM nella Guida per l'utente IAM.
