所需的 IAM 权限 - Amazon EBS

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

所需的 IAM 权限

默认情况下,用户无权使用快照归档。要允许用户使用快照归档,您必须创建 IAM policy,以授予使用特定资源和 API 操作的权限。有关更多信息,请参阅《IAM 用户指南》中的创建 IAM policy

要使用快照归档,用户需要以下权限。

  • ec2:DescribeSnapshotTierStatus

  • ec2:ModifySnapshotTier

  • ec2:RestoreSnapshotTier

控制台用户可能还需要其他权限,例如 ec2:DescribeSnapshots

要归档和恢复加密快照,需要以下 AWS KMS 额外权限。

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

以下是 IAM policy 示例,授予了 IAM 用户归档、恢复和查看加密及未加密快照的权限。其包括控制台用户的 ec2:DescribeSnapshots 权限。如果不需要某些上述权限,您可以从策略中将其删除。

提示

为遵循最小特权原则,请不要允许对 kms:CreateGrant 拥有完全访问权限。而是仅当 AWS 服务代表用户创建授权时,才使用 kms:GrantIsForAWSResource 条件键以允许用户在 KMS 密钥上创建授权,如以下示例所示。

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeSnapshotTierStatus", "ec2:ModifySnapshotTier", "ec2:RestoreSnapshotTier", "ec2:DescribeSnapshots", "kms:CreateGrant", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } }] }

要提供访问权限,请为您的用户、组或角色添加权限: