本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
控制對 Amazon EBS 快照鎖定的存取
依預設,使用者沒有使用快照鎖定的許可。若要允許使用者使用快照鎖定,您必須建立 IAM 政策,授予使用特定資源和 API 動作的許可。如需詳細資訊,請參閱 IAM 使用者指南中的建立 IAM 政策。
所需的許可
若要使用快照鎖定,使用者需有下列許可。
-
ec2:LockSnapshot
:鎖定快照。 -
ec2:UnlockSnapshot
:解鎖快照。 -
ec2:DescribeLockedSnapshots
:檢視快照鎖定設定。
以下是 IAM 政策範例,可授予使用者鎖定和解除鎖定快照和檢視快照鎖定設定的權限。其包括主控台使用者的 ec2:DescribeSnapshots
許可權限。若無需某些許可,則您可從政策中將其移除。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:LockSnapshot", "ec2:UnlockSnapshot", "ec2:DescribeLockedSnapshots", "ec2:DescribeSnapshots" ] }] }
若要提供存取權,請新增權限至您的使用者、群組或角色:
-
中的使用者和群組 AWS IAM Identity Center:
建立權限合集。請按照 AWS IAM Identity Center 使用者指南 中的 建立權限合集 說明進行操作。
-
透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。請遵循 IAM 使用者指南中為第三方身分提供者 (聯合) 建立角色的指示。
-
IAM 使用者:
-
建立您的使用者可擔任的角色。請遵循 IAM 使用者指南中為 Word 使用者建立角色的指示。 IAM
-
(不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。遵循 Word 使用者指南中新增許可給使用者 (主控台) 的指示。 IAM
-
使用條件索引鍵限制存取權限
您可以使用條件索引鍵來限制允許使用者鎖定快照的方式。
ec2:SnapshotLockDuration
在鎖定快照時,您可以使用 ec2:SnapshotLockDuration
條件索引鍵限制使用者指定特定的鎖定期間。
下列範例政策限制使用者只能指定 10
到 50
天的鎖定期間。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:LockSnapshot", "Resource": "arn:aws:ec2:
region
::snapshot/*" "Condition": { "NumericGreaterThan" : { "ec2:SnapshotLockDuration" : 10 } "NumericLessThan":{ "ec2:SnapshotLockDuration": 50 } } } ] }
ec2:CoolOffPeriod
您可以使用 ec2:CoolOffPeriod
條件索引鍵來防止使用者以合規模式鎖定快照,而沒有冷靜期。
下列範例政策限制使用以合規模式鎖定快照時,須指定 48
小時以上的冷靜期。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:LockSnapshot", "Resource": "arn:aws:ec2:
region
::snapshot/*" "Condition": { "NumericGreaterThan": { "ec2:CoolOffPeriod": 48 } } } ] }