Amazon EBS スナップショットロックへのアクセスを制御

デフォルトでは、 ユーザーにはスナップショットロックを使用する許可はありません。ユーザーがスナップショットロックを使用するには、特定のリソースと API アクションを使用する許可を付与する IAM ポリシーを作成する必要があります。詳細については、「IAM ユーザーガイド」の「IAM ポリシーの作成」を参照してください。

必要なアクセス許可

スナップショットロックを使用するには、次の許可をユーザーに付与する必要があります。

• ec2:LockSnapshot – スナップショットをロックします。

• ec2:UnlockSnapshot – スナップショットのロックを解除します。

• ec2:DescribeLockedSnapshots – スナップショットロック設定を表示します。

以下は、スナップショットをロックおよびロック解除したり、スナップショットロック設定を表示したりする許可をユーザーに付与する IAM ポリシーの例です。これには、コンソールユーザーの ec2:DescribeSnapshots 許可が含まれます。一部の許可が不要な場合は、ポリシーから削除できます。

アクセス権限を付与するにはユーザー、グループ、またはロールにアクセス許可を追加します。

• 以下のユーザーとグループ AWS IAM Identity Center：

  アクセス許可セットを作成します。「AWS IAM Identity Center ユーザーガイド」の「権限設定を作成する」の手順に従ってください。

• IAM 内で、ID プロバイダーによって管理されているユーザー:

  ID フェデレーションのロールを作成します。詳細については「IAM ユーザーガイド」の「サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する」を参照してください。

• IAM ユーザー:

  • ユーザーが担当できるロールを作成します。手順については「IAM ユーザーガイド」の「IAM ユーザーのロールの作成」を参照してください。

  • (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。詳細については「IAM ユーザーガイド」の「ユーザー (コンソール) へのアクセス権限の追加」を参照してください。

条件キーでアクセスを制限します。

条件キーを使用して、スナップショットをロックする方法を制限できます。

トピック

• ec2:SnapshotLockDuration

• ec2:CoolOffPeriod

ec2:SnapshotLockDuration

ec2:SnapshotLockDuration 条件キーを使用すると、スナップショットをロックするときにユーザーが指定できるロック期間を制限できます。

次のポリシー例では、ユーザーが指定できるロック期間を 10～50 日に制限しています。

ec2:CoolOffPeriod

ec2:CoolOffPeriod 条件キーを使用すると、ユーザーがクーリングオフ期間を設定していないコンプライアンスモードでスナップショットをロックできないようにすることができます。

以下のポリシー例では、コンプライアンスモードでスナップショットをロックする際、ユーザーがクーリングオフ期間を 48 時間より長く指定することを制限しています。