Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Autorizzazioni richieste per il blocco degli snapshot di Amazon EBS
Per impostazione predefinita, gli utenti non dispongono dell'autorizzazione per utilizzare i blocchi degli snapshot. Per permettere agli utenti di utilizzare i blocchi degli snapshot, è necessario creare delle policy IAM che concedano l'autorizzazione per l'uso di risorse e operazioni API specifiche. Per ulteriori informazioni, consulta Creazione di policy IAM nella Guida per l'utente IAM.
Autorizzazioni richieste
Per utilizzare i blocchi degli snapshot, gli utenti devono disporre delle seguenti autorizzazioni.
-
ec2:LockSnapshot: per bloccare gli snapshot. -
ec2:UnlockSnapshot: per sbloccare gli snapshot. -
ec2:DescribeLockedSnapshots: per visualizzare le impostazioni di blocco degli snapshot.
Di seguito è riportato un esempio di policy IAM che consente agli utenti di bloccare e sbloccare gli snapshot e di visualizzare le impostazioni di blocco degli snapshot. Include l'autorizzazione ec2:DescribeSnapshots per gli utenti della console. Se qualche autorizzazione non è necessaria, puoi rimuoverla dalla policy.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:LockSnapshot", "ec2:UnlockSnapshot", "ec2:DescribeLockedSnapshots", "ec2:DescribeSnapshots" ] }] }
Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:
-
Utenti e gruppi in: AWS IAM Identity Center
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
-
Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Creating a role for a third-party identity provider (federation) (Creazione di un ruolo per un provider di identità di terze parti [federazione]) nella Guida per l'utente di IAM.
-
Utenti IAM:
-
Crea un ruolo che l'utente possa assumere. Per istruzioni, consulta la pagina Creating a role for an IAM user (Creazione di un ruolo per un utente IAM) nella Guida per l'utente di IAM.
-
(Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina Aggiunta di autorizzazioni a un utente (console) nella Guida per l'utente di IAM.
-
Limitazione dell'accesso con le chiavi di condizione
È possibile utilizzare chiavi di condizione per limitare il modo in cui gli utenti possono bloccare gli snapshot.
ec2: SnapshotLockDuration
È possibile utilizzare la chiave di condizione ec2:SnapshotLockDuration per limitare gli utenti a durate di blocco specifiche quando si bloccano gli snapshot.
La seguente policy di esempio limita gli utenti a specificare una durata di blocco compresa tra 10 e 50 giorni.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:LockSnapshot", "Resource": "arn:aws:ec2:region::snapshot/*" "Condition": { "NumericGreaterThan" : { "ebs:SnapshotLockDuration" : 10 } "NumericLessThan":{ "ebs:SnapshotLockDuration": 50 } } } ] }
ec2: CoolOffPeriod
È possibile utilizzare la chiave di condizione ec2:CoolOffPeriod per impedire agli utenti di bloccare gli snapshot in modalità di conformità senza un periodo di raffreddamento.
La seguente policy di esempio limita gli utenti a specificare un periodo di raffreddamento superiore a 48 ore quando bloccano gli snapshot in modalità di conformità.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:LockSnapshot", "Resource": "arn:aws:ec2:region::snapshot/*" "Condition": { "NumericGreaterThan": { "ec2:CoolOffPeriod": 48 } } } ] }
