Permisos de IAM necesarios para archivar instantáneas de Amazon EBS

De forma predeterminada, los usuarios no tienen permiso para utilizar el archivado de instantáneas. Para permitir a los usuarios de IAM utilizar el archivado de instantáneas, tiene que crear políticas que les concedan permisos para utilizar recursos y acciones de API específicos. Para obtener más información, consulte Creación de políticas de IAM en la Guía del usuario de IAM.

Para utilizar el archivado de instantáneas, los usuarios necesitan los siguientes permisos.

ec2:DescribeSnapshotTierStatus
ec2:ModifySnapshotTier
ec2:RestoreSnapshotTier

Es posible que los usuarios de la consola necesiten permisos adicionales, por ejemplo ec2:DescribeSnapshots.

Para archivar y restaurar las instantáneas cifradas, se requieren los siguientes AWS KMS permisos adicionales.

kms:CreateGrant
kms:Decrypt
kms:DescribeKey

A continuación, se muestra un ejemplo de política de IAM que concede a los usuarios de IAM permiso para archivar, restaurar y ver instantáneas cifradas y no cifradas. Incluye el permiso ec2:DescribeSnapshots para los usuarios de la consola. Si algunos permisos no se necesitan, puede eliminarlos de la política.

sugerencia

Para seguir el principio de privilegios mínimos, no permita el acceso completo a kms:CreateGrant. En su lugar, utilice la clave de kms:GrantIsForAWSResource condición para permitir al usuario crear concesiones en la clave de KMS solo cuando un AWS servicio cree la concesión en nombre del usuario, como se muestra en el siguiente ejemplo.


{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "ec2:DescribeSnapshotTierStatus",
            "ec2:ModifySnapshotTier",
            "ec2:RestoreSnapshotTier",
            "ec2:DescribeSnapshots",
            "kms:CreateGrant",
            "kms:Decrypt",
            "kms:DescribeKey"
        ],
        "Resource": "*",
        "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
    }]
}

Para dar acceso, agregue permisos a los usuarios, grupos o roles:

Usuarios y grupos en AWS IAM Identity Center:

Cree un conjunto de permisos. Siga las instrucciones de Creación de un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center .
Usuarios gestionados en IAM a través de un proveedor de identidades:

Cree un rol para la federación de identidades. Siga las instrucciones descritas en Creación de un rol para un proveedor de identidad de terceros (federación) en la Guía del usuario de IAM.
Usuarios de IAM:
- Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en Creación de un rol para un usuario de IAM en la Guía del usuario de IAM.
- (No recomendado) Adjunte una política directamente a un usuario o añada un usuario a un grupo de usuarios. Siga las instrucciones descritas en Adición de permisos a un usuario (consola) de la Guía del usuario de IAM.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Directrices y prácticas recomendadas

Archivo de una instantánea