Erforderliche IAM Berechtigungen für die Archivierung von EBS Amazon-Snapshots

Standardmäßig verfügen Benutzer nicht über die Berechtigung zur Verwendung der Snapshot-Archivierung. Damit Benutzer die Snapshot-Archivierung verwenden können, müssen Sie IAM Richtlinien erstellen, die die Erlaubnis zur Verwendung bestimmter Ressourcen und API Aktionen gewähren. Weitere Informationen finden Sie im IAM Benutzerhandbuch unter IAMRichtlinien erstellen.

Zur Verwendung der Snapshot-Archivierung müssen Benutzer über die folgenden Berechtigungen verfügen.

ec2:DescribeSnapshotTierStatus
ec2:ModifySnapshotTier
ec2:RestoreSnapshotTier

Konsolenbenutzer benötigen möglicherweise zusätzliche Berechtigungen wie ec2:DescribeSnapshots.

Um verschlüsselte Snapshots zu archivieren und wiederherzustellen, sind die folgenden zusätzlichen AWS KMS Berechtigungen erforderlich.

kms:CreateGrant
kms:Decrypt
kms:DescribeKey

Im Folgenden finden Sie ein Beispiel IAM für eine Richtlinie, mit der IAM Benutzer verschlüsselte und unverschlüsselte Snapshots archivieren, wiederherstellen und anzeigen dürfen. Es umfasst die ec2:DescribeSnapshots-Berechtigung für Konsolenbenutzer. Werden einige Berechtigungen nicht benötigt, können Sie sie aus der Richtlinie entfernen.

Tipp

Um den Grundsatz der Erteilung der geringsten erforderlichen Berechtigungen zu befolgen, lassen Sie den vollständigen Zugriff auf kms:CreateGrant nicht zu. Verwenden Sie stattdessen den kms:GrantIsForAWSResource Bedingungsschlüssel, damit der Benutzer nur dann Berechtigungen für den KMS Schlüssel erstellen kann, wenn der Zuschuss im Namen des Benutzers von einem AWS Dienst erstellt wird, wie im folgenden Beispiel gezeigt.


{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "ec2:DescribeSnapshotTierStatus",
            "ec2:ModifySnapshotTier",
            "ec2:RestoreSnapshotTier",
            "ec2:DescribeSnapshots",
            "kms:CreateGrant",
            "kms:Decrypt",
            "kms:DescribeKey"
        ],
        "Resource": "*",
        "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
    }]
}

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

Benutzer und Gruppen in AWS IAM Identity Center:

Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.
Benutzer, IAM die über einen Identitätsanbieter verwaltet werden:

Erstellen Sie eine Rolle für den Identitätsverbund. Folgen Sie den Anweisungen unter Erstellen einer Rolle für einen externen Identitätsanbieter (Federation) im IAMBenutzerhandbuch.
IAMBenutzer:
- Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Folgen Sie den Anweisungen unter Eine Rolle für einen IAM Benutzer erstellen im IAMBenutzerhandbuch.
- (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Folgen Sie den Anweisungen unter Hinzufügen von Berechtigungen für einen Benutzer (Konsole) im IAMBenutzerhandbuch.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Leitlinien und Bewährte Methoden

Archivieren eines Snapshots