所需的 IAM 許可

依預設，使用者沒有使用快照封存的許可。若要允許使用者使用快照封存，必須建立 IAM 政策，其會授予使用特定資源和 API 動作的許可。如需詳細資訊，請參閱《IAM 使用者指南》中的建立 IAM 政策。

若要使用快照封存，使用者需要下列許可。

• ec2:DescribeSnapshotTierStatus

• ec2:ModifySnapshotTier

• ec2:RestoreSnapshotTier

主控台使用者可能需要其他許可，例如 ec2:DescribeSnapshots。

若要封存和還原加密的快照，需要下列其他 AWS KMS 許可。

• kms:CreateGrant

• kms:Decrypt

• kms:DescribeKey

以下是向 IAM 使用者授予許可以封存、還原和檢視加密和未加密快照許可的 IAM 政策範例。其包括主控台使用者的 ec2:DescribeSnapshots 許可權限。若無需某些許可，則您可從政策中將其移除。

提示

若要遵循最低權限原則人，請勿允許 kms:CreateGrant 的完整存取。相反地，只有 AWS 服務代表使用者建立授與時，才可使用 kms:GrantIsForAWSResource 條件金鑰以允許使用者在 KMS 金鑰上建立授與，如下列範例所示。

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "ec2:DescribeSnapshotTierStatus",
            "ec2:ModifySnapshotTier",
            "ec2:RestoreSnapshotTier",
            "ec2:DescribeSnapshots",
            "kms:CreateGrant",
            "kms:Decrypt",
            "kms:DescribeKey"
        ],
        "Resource": "*",
        "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
    }]
}

若要提供存取權，請新增許可到您的使用者、群組或角色：

• AWS IAM Identity Center 中的使用者和群組：

  建立許可集合。請遵循《AWS IAM Identity Center 使用者指南》的建立許可集合中的指示。

• 透過身分提供者在 IAM 中管理的使用者：

  建立聯合身分的角色。請遵循《IAM 使用者指南》的為第三方身分提供者 (聯合) 建立角色中的指示。

• IAM 使用者：

  • 建立您的使用者可擔任的角色。請遵循《IAM 使用者指南》的為 IAM 使用者建立角色中的指示。

  • (不建議) 將政策直接連接至使用者，或將使用者新增至使用者群組。請遵循《IAM 使用者指南》的新增許可到使用者 (主控台)中的指示。