Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Steuern Sie den Zugriff auf EBS direkt mit IAM APIs
Ein Benutzer muss über die folgenden Richtlinien verfügen, um EBS Direct verwenden zu können. APIs Weitere Informationen finden Sie unter Ändern von Berechtigungen für einen Benutzer.
Weitere Informationen zu den direkten APIs EBS-Ressourcen, Aktionen und Bedingungskontextschlüsseln zur Verwendung in IAM-Berechtigungsrichtlinien finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Elastic Block Store in der Service Authorization Reference.
Wichtig
Seien Sie vorsichtig, wenn Sie den -Benutzern die folgenden Richtlinien zuweisen. Durch die Zuweisung dieser Richtlinien können Sie einem Benutzer Zugriff gewähren, dem der Zugriff auf dieselbe Ressource über Amazon verweigert wird EC2 APIs, z. B. die CreateVolume Aktionen CopySnapshot oder.
Die folgende Richtlinie ermöglicht die direkte Verwendung von EBS Read APIs für alle Snapshots in einer bestimmten Region. AWS Ersetzen Sie den Wert in der Richtlinie <Region> durch die Region des Snapshots.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:<Region>::snapshot/*" } ] }
Die folgende Richtlinie ermöglicht die Verwendung von Read EBS Direct APIs für Snapshots mit einem bestimmten Schlüssel-Wert-Tag. Ersetzen Sie es in der Richtlinie <Key> durch den Schlüsselwert des Tags und <Value> durch den Wert des Tags.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/<Key>": "<Value>" } } } ] }
Mit der folgenden Richtlinie kann das gesamte direkt APIs gelesene EBS für alle Snapshots im Konto nur innerhalb eines bestimmten Zeitraums verwendet werden. Diese Richtlinie autorisiert die Verwendung von EBS Direct auf der APIs Grundlage des globalen Bedingungsschlüsselsaws:CurrentTime. Stellen Sie sicher, dass Sie in der Richtlinie den angezeigten Datums- und Zeitbereich durch den Datums- und Zeitbereich für Ihre Richtlinie ersetzen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2018-05-29T00:00:00Z" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z" } } } ] }
Weitere Informationen finden Sie unter Ändern von Berechtigungen für einen Benutzer im IAM-Benutzerhandbuch.
Mit der folgenden Richtlinie kann EBS Direct APIs für alle Snapshots in einer bestimmten Region verwendet werden. AWS Ersetzen Sie den Wert in der Richtlinie <Region> durch die Region des Snapshots.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:<Region>::snapshot/*" } ] }
Die folgende Richtlinie ermöglicht die direkte Verwendung von Write EBS Direct APIs für Snapshots mit einem bestimmten Schlüssel-Wert-Tag. Ersetzen Sie in der Richtlinie <Key> durch den Schlüsselwert des Tags und <Value> durch den Wert des Tags.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/<Key>": "<Value>" } } } ] }
Die folgende Richtlinie ermöglicht die Verwendung des gesamten APIs EBS-Direkts. Sie lässt darüber hinaus die Aktion StartSnapshot nur zu, wenn eine übergeordnete Snapshot-ID angegeben ist. Daher blockiert diese Richtlinie das Starten neuer Snapshots ohne Verwendung eines übergeordneten Snapshots.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "StringEquals": { "ebs:ParentSnapshot": "arn:aws:ec2:*::snapshot/*" } } } ] }
Die folgende Richtlinie ermöglicht die Verwendung von EBS Direct in vollem APIs Umfang. Sie lässt außerdem für einen neuen Snapshot ausschließlich die Erstellung des Tag (Markierung)-Schlüssels user zu. Diese Richtlinie stellt darüber hinaus sicher, dass der Benutzer Tags (Markierungen) erstellen kann. Die Aktion StartSnapshot ist die einzige Aktion, die Tags angeben kann.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": "user" } } }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "*" } ] }
Die folgende Richtlinie ermöglicht die Verwendung des gesamten EBS APIs Direct-Schreibvorgangs für alle Snapshots im Konto nur innerhalb eines bestimmten Zeitraums. Diese Richtlinie autorisiert die Verwendung von EBS Direct auf der APIs Grundlage des globalen Bedingungsschlüsselsaws:CurrentTime. Stellen Sie sicher, dass Sie in der Richtlinie den angezeigten Datums- und Zeitbereich durch den Datums- und Zeitbereich für Ihre Richtlinie ersetzen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2018-05-29T00:00:00Z" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z" } } } ] }
Weitere Informationen finden Sie unter Ändern von Berechtigungen für einen Benutzer im IAM-Benutzerhandbuch.
Die folgende Richtlinie gewährt die Berechtigung zum Entschlüsseln eines verschlüsselten Snapshots mithilfe einer spezifischen Verschlüsselung. Sie erteilt auch die Berechtigung, neue Snapshots mit dem standardmäßigen KMS-Schlüssel für die EBS-Verschlüsselung zu verschlüsseln. <Region>Ersetzen Sie in der Richtlinie durch die Region des KMS-Schlüssels, <AccountId> durch die ID des AWS Kontos des KMS-Schlüssels und <KeyId> durch die ID des KMS-Schlüssels.
Anmerkung
Standardmäßig haben alle Principals im Konto Zugriff auf den standardmäßigen AWS verwalteten KMS-Schlüssel für die Amazon EBS-Verschlüsselung und können ihn für EBS-Verschlüsselungs- und Entschlüsselungsvorgänge verwenden. Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden, müssen Sie eine neue Schlüsselrichtlinie erstellen oder die vorhandene Schlüsselrichtlinie für den vom Kunden verwalteten Schlüssel ändern, um dem Prinzipal Zugriff auf den vom Kunden verwalteten Schlüssel zu gewähren. Weitere Informationen finden Sie unter Schlüsselrichtlinien in AWS KMS im Entwicklerhandbuch für AWS Key Management Service .
Tipp
Um den Grundsatz der Erteilung der geringsten erforderlichen Berechtigungen zu befolgen, lassen Sie den vollständigen Zugriff auf kms:CreateGrant nicht zu. Verwenden Sie stattdessen den kms:GrantIsForAWSResource Bedingungsschlüssel, damit der Benutzer nur dann Berechtigungen für den KMS-Schlüssel erstellen kann, wenn der Zuschuss im Namen des Benutzers von einem AWS Dienst erstellt wird, wie im folgenden Beispiel gezeigt.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:ReEncrypt*", "kms:CreateGrant", "ec2:CreateTags", "kms:DescribeKey" ], "Resource": "arn:aws:kms:<Region>:<AccountId>:key/<KeyId>", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
Weitere Informationen finden Sie unter Ändern von Berechtigungen für einen Benutzer im IAM-Benutzerhandbuch.
