IAMAutorizzazioni richieste per l'archiviazione degli snapshot di Amazon EBS

Per impostazione predefinita, gli utenti non dispongono dell'autorizzazione per utilizzare l'archiviazione degli snapshot. Per consentire agli utenti di utilizzare l'archiviazione delle istantanee, è necessario creare IAM politiche che consentano l'utilizzo di risorse e azioni specifiche. API Per ulteriori informazioni, vedere Creazione IAM di politiche nella Guida per l'IAMutente.

Per utilizzare l'archiviazione degli snapshot, gli utenti devono disporre delle seguenti autorizzazioni.

ec2:DescribeSnapshotTierStatus
ec2:ModifySnapshotTier
ec2:RestoreSnapshotTier

Gli utenti della console potrebbero aver bisogno di autorizzazioni aggiuntive, ad esempio ec2:DescribeSnapshots.

Per archiviare e ripristinare le istantanee crittografate, sono AWS KMS necessarie le seguenti autorizzazioni aggiuntive.

kms:CreateGrant
kms:Decrypt
kms:DescribeKey

Di seguito è riportato un esempio di IAM policy che consente IAM agli utenti di archiviare, ripristinare e visualizzare istantanee crittografate e non crittografate. Include l'autorizzazione ec2:DescribeSnapshots per gli utenti della console. Se qualche autorizzazione non è necessaria, puoi rimuoverla dalla policy.

Suggerimento

Per seguire il principio del privilegio minimo, non consentire l'accesso completo a kms:CreateGrant. Utilizzate invece la chiave kms:GrantIsForAWSResource condition per consentire all'utente di creare concessioni sulla KMS chiave solo quando la concessione viene creata per conto dell'utente da un AWS servizio, come illustrato nell'esempio seguente.


{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "ec2:DescribeSnapshotTierStatus",
            "ec2:ModifySnapshotTier",
            "ec2:RestoreSnapshotTier",
            "ec2:DescribeSnapshots",
            "kms:CreateGrant",
            "kms:Decrypt",
            "kms:DescribeKey"
        ],
        "Resource": "*",
        "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
    }]
}

Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:

Utenti e gruppi in AWS IAM Identity Center:

Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
Utenti gestiti IAM tramite un provider di identità:

Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate in Creazione di un ruolo per un provider di identità di terze parti (federazione) nella Guida per l'IAMutente.
IAMutenti:
- Crea un ruolo che l'utente possa assumere. Segui le istruzioni riportate nella sezione Creazione di un ruolo per un IAM utente nella Guida per l'IAMutente.
- (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate in Aggiungere autorizzazioni a un utente (console) nella Guida per l'IAMutente.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Linee guida e best practice

Archiviazione di uno snapshot