Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controle el acceso al bloqueo de EBS instantáneas de Amazon
De forma predeterminada, los usuarios no tienen permiso para trabajar con bloqueos de instantáneas. Para permitir que los usuarios usen bloqueos de instantáneas, debe crear IAM políticas que concedan permiso para usar recursos y API acciones específicos. Para obtener más información, consulte Creación de IAM políticas en la Guía del IAM usuario.
Permisos necesarios
Para trabajar con bloqueos de instantáneas, los usuarios necesitan los siguientes permisos.
-
ec2:LockSnapshot: para bloquear las instantáneas. -
ec2:UnlockSnapshot: para desbloquear las instantáneas. -
ec2:DescribeLockedSnapshots: para ver la configuración de bloqueo de instantáneas.
El siguiente es un ejemplo IAM de política que permite a los usuarios bloquear y desbloquear instantáneas y ver la configuración de bloqueo de instantáneas. Incluye el permiso ec2:DescribeSnapshots para los usuarios de la consola. Si algunos permisos no se necesitan, puede eliminarlos de la política.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:LockSnapshot", "ec2:UnlockSnapshot", "ec2:DescribeLockedSnapshots", "ec2:DescribeSnapshots" ] }] }
Para dar acceso, agregue permisos a los usuarios, grupos o roles:
-
Usuarios y grupos en AWS IAM Identity Center:
Cree un conjunto de permisos. Siga las instrucciones de Creación de un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center .
-
Usuarios gestionados IAM a través de un proveedor de identidad:
Cree un rol para la federación de identidades. Siga las instrucciones de la Guía del IAM usuario sobre cómo crear un rol para un proveedor de identidades externo (federación).
-
IAMusuarios:
-
Cree un rol que el usuario pueda aceptar. Siga las instrucciones de la Guía del IAMusuario sobre cómo crear un rol para un IAM usuario.
-
(No recomendado) Adjunte una política directamente a un usuario o añada un usuario a un grupo de usuarios. Siga las instrucciones de Añadir permisos a un usuario (consola) de la Guía del IAM usuario.
-
Restricción del acceso con claves de condición
Puede utilizar claves de condición para restringir la forma en que los usuarios pueden bloquear las instantáneas.
ec2: SnapshotLockDuration
Puede usar la clave de condición ec2:SnapshotLockDuration para restringir a los usuarios a periodos de bloqueo específicos al bloquear las instantáneas.
En el siguiente ejemplo de política se restringe a los usuarios a especificar una duración de bloqueo de entre 10 y 50 días.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:LockSnapshot", "Resource": "arn:aws:ec2:region::snapshot/*" "Condition": { "NumericGreaterThan" : { "ec2:SnapshotLockDuration" : 10 } "NumericLessThan":{ "ec2:SnapshotLockDuration": 50 } } } ] }
ec2: CoolOffPeriod
Puede utilizar la clave de condición ec2:CoolOffPeriod para evitar que los usuarios bloqueen las instantáneas en el modo de conformidad sin un periodo de reflexión.
En el siguiente ejemplo de política se restringe a los usuarios a especificar un periodo de reflexión superior a 48 horas al bloquear las instantáneas en el modo de conformidad.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:LockSnapshot", "Resource": "arn:aws:ec2:region::snapshot/*" "Condition": { "NumericGreaterThan": { "ec2:CoolOffPeriod": 48 } } } ] }
