Amazon EBSスナップショットロックに必要なアクセス許可 - Amazon EBS
必要なアクセス許可条件キーでアクセスを制限します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EBSスナップショットロックに必要なアクセス許可

デフォルトでは、 ユーザーにはスナップショットロックを使用する許可はありません。ユーザーにスナップショットロックの使用を許可するには、特定のリソースとAPIアクションを使用するアクセス許可を付与するIAMポリシーを作成する必要があります。詳細については、「 ユーザーガイド」のIAM「ポリシーの作成IAM」を参照してください。

必要なアクセス許可

スナップショットロックを使用するには、次の許可をユーザーに付与する必要があります。

  • ec2:LockSnapshot – スナップショットをロックします。

  • ec2:UnlockSnapshot – スナップショットのロックを解除します。

  • ec2:DescribeLockedSnapshots – スナップショットロック設定を表示します。

以下は、スナップショットをロックおよびロック解除し、スナップショットロック設定を表示するアクセス許可をユーザーに付与するIAMポリシーの例です。これには、コンソールユーザーの ec2:DescribeSnapshots 許可が含まれます。一部の許可が不要な場合は、ポリシーから削除できます。

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "ec2:LockSnapshot",
            "ec2:UnlockSnapshot",
            "ec2:DescribeLockedSnapshots",
            "ec2:DescribeSnapshots"
        ]
    }]
}

アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。

条件キーでアクセスを制限します。

条件キーを使用して、スナップショットをロックする方法を制限できます。

EC2:SnapshotLockDuration

ec2:SnapshotLockDuration 条件キーを使用すると、スナップショットをロックするときにユーザーが指定できるロック期間を制限できます。

次のポリシー例では、ユーザーが指定できるロック期間を 1050 日に制限しています。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:LockSnapshot",
      "Resource": "arn:aws:ec2:region::snapshot/*"
      "Condition": {
        "NumericGreaterThan" : {
          "ebs:SnapshotLockDuration" : 10
        }
        "NumericLessThan":{ 
          "ebs:SnapshotLockDuration": 50
        }
      }
    }
  ]
}

ec2:CoolOffPeriod

ec2:CoolOffPeriod 条件キーを使用すると、ユーザーがクーリングオフ期間を設定していないコンプライアンスモードでスナップショットをロックできないようにすることができます。

以下のポリシー例では、コンプライアンスモードでスナップショットをロックする際、ユーザーがクーリングオフ期間を 48 時間より長く指定することを制限しています。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:LockSnapshot",
      "Resource": "arn:aws:ec2:region::snapshot/*"
      "Condition": {
        "NumericGreaterThan": {
          "ec2:CoolOffPeriod": 48
        }
      }
    }
  ]
}