Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Permisos de IAM para las API directas de EBS
Un usuario debe tener las siguientes políticas para utilizar las API directas de EBS. Para obtener más información, consulte Cambio de los permisos de un usuario de IAM.
Para obtener más información sobre las claves de contexto de condición, acciones y recursos de las API directas de EBS para su uso en las políticas de permisos de IAM, consulteAcciones, recursos y claves de condición para Amazon Elastic Block Store en la Referencia de autorizaciones de servicio.
importante
Tenga cuidado al asignar las siguientes políticas a los usuarios de . Al asignar estas políticas, puede conceder acceso a un usuario al que se le deniegue el acceso al mismo recurso a través de las API de Amazon EC2, como CopySnapshot las CreateVolume acciones o.
La siguiente política permite utilizar las API de lectura directa de EBS en todas las instantáneas de una región específica. AWS En la política, sustituya <Región> por la región de la instantánea.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:<Region>::snapshot/*" } ] }
La siguiente política permite utilizar las API directas de EBS de lectura en instantáneas con una etiqueta clave-valor específica. En la política, reemplace <Key> por el valor de clave de la etiqueta y <Value> por el valor de la etiqueta.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/<Key>": "<Value>" } } } ] }
La siguiente directiva permite que todas las API directas de EBS de lectura se utilicen en todas las instantáneas de la cuenta solo dentro de un intervalo de tiempo específico. Esta política autoriza el uso de las API directas de EBS basadas en la clave de condición global aws:CurrentTime. En la política, asegúrese de reemplazar el intervalo de fecha y hora mostrado por el intervalo de fecha y hora de la política.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2018-05-29T00:00:00Z" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z" } } } ] }
Para obtener más información, consulte Cambio de los permisos de un usuario de IAM en la Guía del usuario de IAM.
La siguiente política permite utilizar las API directas de escritura de EBS en todas las instantáneas de una región específica. AWS En la política, sustituya <Región> por la región de la instantánea.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:<Region>::snapshot/*" } ] }
La siguiente política permite que las API directas de EBS de escritura se utilicen en instantáneas con una etiqueta clave-valor específica. En la política, reemplace <Key> por el valor de clave de la etiqueta y <Value> por el valor de la etiqueta.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/<Key>": "<Value>" } } } ] }
La siguiente política permite que se utilicen las API directas de EBS. También permite la acción StartSnapshot solo si se especifica un ID de instantánea principal. Por lo tanto, esta política bloquea la capacidad de iniciar nuevas instantáneas sin utilizar una instantánea principal.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "StringEquals": { "ebs:ParentSnapshot": "arn:aws:ec2:*::snapshot/*" } } } ] }
La siguiente política permite que se utilicen las API directas de EBS. También permite que solo se cree la clave de etiqueta de user para una nueva instantánea. Esta política también garantiza que el usuario tenga acceso para crear etiquetas. La acción StartSnapshot es la única acción que puede especificar etiquetas.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": "user" } } }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "*" } ] }
La siguiente política permite que todas las API directas de EBS de escritura se utilicen en todas las instantáneas de la cuenta solo dentro de un intervalo de tiempo específico. Esta política autoriza el uso de las API directas de EBS basadas en la clave de condición global aws:CurrentTime. En la política, asegúrese de reemplazar el intervalo de fecha y hora mostrado por el intervalo de fecha y hora de la política.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2018-05-29T00:00:00Z" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z" } } } ] }
Para obtener más información, consulte Cambio de los permisos de un usuario de IAM en la Guía del usuario de IAM.
La siguiente política concede permiso para descifrar una instantánea cifrada mediante una clave de KMS específica. También concede permiso para cifrar instantáneas nuevas mediante la clave de KMS predeterminada para el cifrado de EBS. En la política, <Region>sustitúyala por la región de la clave de KMS, < AccountId > por el ID de la AWS cuenta de la clave de KMS y < KeyId > por el ID de la clave de KMS.
nota
De forma predeterminada, todos los responsables de la cuenta tienen acceso a la clave de KMS AWS administrada predeterminada para el cifrado de Amazon EBS y pueden usarla para las operaciones de cifrado y descifrado de EBS. Si utiliza una clave administrada por el cliente, debe crear una política de claves nueva o modificar la política de clave existente para la clave administrada por el cliente para conceder acceso a la entidad principal a la clave administrada por el cliente. Para obtener más información, consulte Políticas de claves en AWS KMS en la Guía para desarrolladores de AWS Key Management Service .
sugerencia
Para seguir el principio de privilegios mínimos, no permita el acceso completo a kms:CreateGrant. En su lugar, utilice la clave kms:GrantIsForAWSResource condicionada para permitir al usuario crear concesiones en la clave de KMS únicamente cuando un AWS servicio cree la concesión en nombre del usuario, como se muestra en el siguiente ejemplo.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:ReEncrypt*", "kms:CreateGrant", "ec2:CreateTags", "kms:DescribeKey" ], "Resource": "arn:aws:kms:<Region>:<AccountId>:key/<KeyId>", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
Para obtener más información, consulte Cambio de los permisos de un usuario de IAM en la Guía del usuario de IAM.
