As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
IAMpermissões para EBS direto APIs
Um usuário deve ter as seguintes políticas para usar o EBS diretoAPIs. Para obter mais informações, consulte Alterar permissões para um usuário.
Para obter mais informações sobre APIs recursos EBS diretos, ações e chaves de contexto de condição para uso em políticas de IAM permissão, consulte Ações, recursos e chaves de condição para o Amazon Elastic Block Store na Referência de Autorização de Serviço.
Importante
Tenha cuidado ao atribuir as seguintes políticas aos usuários do . Ao atribuir essas políticas, você pode conceder acesso a um usuário a quem foi negado o acesso ao mesmo recurso pela Amazon EC2APIs, como as CreateVolume ações CopySnapshot ou.
A política a seguir permite que a leitura EBS direta APIs seja usada em todos os snapshots em uma AWS região específica. Na política, substitua <Region>
com a região do instantâneo.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:
<Region>
::snapshot/*" } ] }
A política a seguir permite que a leitura EBS direta APIs seja usada em instantâneos com uma tag de valor-chave específica. Na política, substitua <Key>
com o valor chave da tag e <Value>
com o valor da tag.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/
<Key>
": "<Value>
" } } } ] }
A política a seguir permite que toda a leitura EBS direta APIs seja usada em todos os instantâneos da conta somente dentro de um intervalo de tempo específico. Esta política autoriza o uso EBS direto APIs com base na chave de condição aws:CurrentTime
global. Na política, substitua o intervalo de data e hora mostrado pelo intervalo de data e hora da sua política.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "
2018-05-29T00:00:00Z
" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z
" } } } ] }
Para obter mais informações, consulte Alterar as permissões de um usuário no Guia IAM do usuário.
A política a seguir permite que a gravação EBS direta APIs seja usada em todos os snapshots em uma AWS região específica. Na política, substitua <Region>
com a região do instantâneo.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:
<Region>
::snapshot/*" } ] }
A política a seguir permite que a gravação EBS direta APIs seja usada em instantâneos com uma tag de valor-chave específica. Na política, substitua <Key>
com o valor chave da tag e <Value>
com o valor da tag.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/
<Key>
": "<Value>
" } } } ] }
A política a seguir permite que todo APIs o EBS direto seja usado. Ela também permite a ação StartSnapshot
somente se um ID de snapshot pai for especificado. Portanto, essa política bloqueia a capacidade de iniciar novos snapshots sem o uso de um snapshot pai.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "StringEquals": { "ebs:ParentSnapshot": "arn:aws:ec2:*::snapshot/*" } } } ] }
A política a seguir permite que todo APIs o EBS direto seja usado. Ela também permite que apenas a chave de tag user
seja criada para um novo snapshot. Essa política também garante que o usuário tenha acesso à criação de tags. A ação StartSnapshot
é a única ação que pode especificar tags.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": "user" } } }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "*" } ] }
A política a seguir permite que toda a gravação EBS direta APIs seja usada em todos os instantâneos da conta somente dentro de um intervalo de tempo específico. Esta política autoriza o uso EBS direto APIs com base na chave de condição aws:CurrentTime
global. Na política, substitua o intervalo de data e hora mostrado pelo intervalo de data e hora da sua política.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "
2018-05-29T00:00:00Z
" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z
" } } } ] }
Para obter mais informações, consulte Alterar as permissões de um usuário no Guia IAM do usuário.
A política a seguir concede permissão para descriptografar um instantâneo criptografado usando uma chave específica. KMS Também concede permissão para criptografar novos instantâneos usando a KMS chave padrão para EBS criptografia. Na política, substitua <Region>
com a região da KMS chave, <AccountId>
com o ID da AWS conta da KMS chave e <KeyId>
com o ID da KMS chave.
nota
Por padrão, todos os diretores da conta têm acesso à KMS chave AWS gerenciada padrão para a EBS criptografia da Amazon e podem usá-la para operações de EBS criptografia e descriptografia. Se você estiver usando uma chave gerenciada pelo cliente, deverá criar uma nova política de chaves ou modificar a política de chaves existente para a chave gerenciada pelo cliente para conceder ao principal acesso à chave gerenciada pelo cliente. Para obter mais informações, consulte Políticas de chaves no AWS KMS no Guia do desenvolvedor do AWS Key Management Service .
dica
Para seguir o princípio de menor privilégio, não permita acesso total a kms:CreateGrant
. Em vez disso, use a chave de kms:GrantIsForAWSResource
condição para permitir que o usuário crie concessões na KMS chave somente quando a concessão for criada em nome do usuário por um AWS serviço, conforme mostrado no exemplo a seguir.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:ReEncrypt*", "kms:CreateGrant", "ec2:CreateTags", "kms:DescribeKey" ], "Resource": "arn:aws:kms:
<Region>
:<AccountId>
:key/<KeyId>
", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
Para obter mais informações, consulte Alterar as permissões de um usuário no Guia IAM do usuário.