Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
IAMBerechtigungen für EBS Direct APIs
Ein Benutzer muss über die folgenden Richtlinien verfügen, um EBS Direct verwenden zu könnenAPIs. Weitere Informationen finden Sie unter Ändern von Berechtigungen für einen Benutzer.
Weitere Informationen zu den EBS direkten APIs Ressourcen, Aktionen und Bedingungskontextschlüsseln zur Verwendung in IAM Berechtigungsrichtlinien finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Elastic Block Store in der Service Authorization Reference.
Wichtig
Seien Sie vorsichtig, wenn Sie den -Benutzern die folgenden Richtlinien zuweisen. Durch das Zuweisen dieser Richtlinien können Sie einem Benutzer Zugriff gewähren, dem der Zugriff auf dieselbe Ressource über Amazon verweigert wird EC2APIs, z. B. die CreateVolume Aktionen CopySnapshot oder.
Die folgende Richtlinie ermöglicht die Verwendung von Read EBS Direct APIs für alle Snapshots in einer bestimmten AWS Region. Ersetzen Sie in der Richtlinie <Region> durch die Region des Snapshots.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:<Region>::snapshot/*" } ] }
Die folgende Richtlinie ermöglicht die Verwendung von Read EBS Direct APIs für Snapshots mit einem bestimmten Schlüssel-Wert-Tag. Ersetzen Sie in der Richtlinie <Key> mit dem Schlüsselwert des Tags und <Value> mit dem Wert des Tags.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/<Key>": "<Value>" } } } ] }
Mit der folgenden Richtlinie können alle EBSAPIsRead-Direct-Daten nur innerhalb eines bestimmten Zeitraums für alle Snapshots im Konto verwendet werden. Diese Richtlinie autorisiert die Verwendung von EBS Direct auf der APIs Grundlage des aws:CurrentTime globalen Bedingungsschlüssels. Stellen Sie sicher, dass Sie in der Richtlinie den angezeigten Datums- und Zeitbereich durch den Datums- und Zeitbereich für Ihre Richtlinie ersetzen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2018-05-29T00:00:00Z" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z" } } } ] }
Weitere Informationen finden Sie im Benutzerhandbuch unter Ändern der Berechtigungen für einen IAM Benutzer.
Die folgende Richtlinie ermöglicht die Verwendung von Write EBS Direct APIs für alle Snapshots in einer bestimmten AWS Region. Ersetzen Sie in der Richtlinie <Region> durch die Region des Snapshots.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:<Region>::snapshot/*" } ] }
Die folgende Richtlinie ermöglicht die Verwendung von Write EBS Direct APIs für Snapshots mit einem bestimmten Schlüssel-Wert-Tag. Ersetzen Sie in der Richtlinie <Key> mit dem Schlüsselwert des Tags und <Value> mit dem Wert des Tags.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/<Key>": "<Value>" } } } ] }
Die folgende Richtlinie ermöglicht die Verwendung des gesamten EBS APIs Direct-Codes. Sie lässt darüber hinaus die Aktion StartSnapshot nur zu, wenn eine übergeordnete Snapshot-ID angegeben ist. Daher blockiert diese Richtlinie das Starten neuer Snapshots ohne Verwendung eines übergeordneten Snapshots.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "StringEquals": { "ebs:ParentSnapshot": "arn:aws:ec2:*::snapshot/*" } } } ] }
Die folgende Richtlinie ermöglicht die Verwendung des gesamten EBS APIs Direct-Codes. Sie lässt außerdem für einen neuen Snapshot ausschließlich die Erstellung des Tag (Markierung)-Schlüssels user zu. Diese Richtlinie stellt darüber hinaus sicher, dass der Benutzer Tags (Markierungen) erstellen kann. Die Aktion StartSnapshot ist die einzige Aktion, die Tags angeben kann.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": "user" } } }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "*" } ] }
Mit der folgenden Richtlinie darf der gesamte EBSAPIsWrite-Direct-Code nur innerhalb eines bestimmten Zeitraums für alle Snapshots im Konto verwendet werden. Diese Richtlinie autorisiert die Verwendung von EBS Direct auf der APIs Grundlage des aws:CurrentTime globalen Bedingungsschlüssels. Stellen Sie sicher, dass Sie in der Richtlinie den angezeigten Datums- und Zeitbereich durch den Datums- und Zeitbereich für Ihre Richtlinie ersetzen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2018-05-29T00:00:00Z" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z" } } } ] }
Weitere Informationen finden Sie im Benutzerhandbuch unter Ändern der Berechtigungen für einen IAM Benutzer.
Die folgende Richtlinie gewährt die Erlaubnis, einen verschlüsselten Snapshot mithilfe eines bestimmten KMS Schlüssels zu entschlüsseln. Sie gewährt auch die Erlaubnis, neue Snapshots mit dem KMS Standardschlüssel für die Verschlüsselung zu verschlüsseln. EBS Ersetzen Sie in der Richtlinie <Region> mit der Region des KMS Schlüssels <AccountId> mit der ID des AWS Kontos des KMS Schlüssels und <KeyId> mit der ID des KMS Schlüssels.
Anmerkung
Standardmäßig haben alle Principals im Konto Zugriff auf den AWS verwalteten KMS Standardschlüssel für EBS Amazon-Verschlüsselung und können ihn für EBS Verschlüsselungs- und Entschlüsselungsvorgänge verwenden. Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden, müssen Sie eine neue Schlüsselrichtlinie erstellen oder die vorhandene Schlüsselrichtlinie für den vom Kunden verwalteten Schlüssel ändern, um dem Prinzipal Zugriff auf den vom Kunden verwalteten Schlüssel zu gewähren. Weitere Informationen finden Sie unter Schlüsselrichtlinien in AWS KMS im Entwicklerhandbuch für AWS Key Management Service .
Tipp
Um den Grundsatz der Erteilung der geringsten erforderlichen Berechtigungen zu befolgen, lassen Sie den vollständigen Zugriff auf kms:CreateGrant nicht zu. Verwenden Sie stattdessen den kms:GrantIsForAWSResource Bedingungsschlüssel, damit der Benutzer nur dann Zuschüsse für den KMS Schlüssel erstellen kann, wenn der Zuschuss im Namen des Benutzers von einem AWS Dienst erstellt wird, wie im folgenden Beispiel gezeigt.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:ReEncrypt*", "kms:CreateGrant", "ec2:CreateTags", "kms:DescribeKey" ], "Resource": "arn:aws:kms:<Region>:<AccountId>:key/<KeyId>", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
Weitere Informationen finden Sie im Benutzerhandbuch unter Ändern der Berechtigungen für einen IAM Benutzer.
