Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôle de l'accès pour EBS une APIs utilisation directe IAM
Un utilisateur doit respecter les règles suivantes pour utiliser le EBS directAPIs. Pour plus d’informations, consultez Modification des autorisations d’un utilisateur.
Pour plus d'informations sur les APIs ressources EBS directes, les actions et les clés contextuelles de condition à utiliser dans les politiques d'IAMautorisation, consultez la section Actions, ressources et clés de condition pour Amazon Elastic Block Store dans la référence d'autorisation des services.
Important
Soyez prudent lorsque vous affectez les stratégies suivantes aux utilisateurs . En attribuant ces politiques, vous pouvez donner accès à un utilisateur qui se voit refuser l'accès à la même ressource par le biais d'Amazon EC2APIs, par exemple aux CreateVolume actions CopySnapshot or.
La politique suivante permet d'utiliser la lecture EBS directe APIs sur tous les instantanés d'une AWS région spécifique. Dans la politique, remplacez <Region>
avec la région de l'instantané.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:
<Region>
::snapshot/*" } ] }
La politique suivante permet d'utiliser la lecture EBS directe sur APIs les instantanés dotés d'une balise clé-valeur spécifique. Dans la politique, remplacez <Key>
avec la valeur clé de la balise, et <Value>
avec la valeur de la balise.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/
<Key>
": "<Value>
" } } } ] }
La politique suivante permet d'utiliser l'intégralité de la lecture EBS directe APIs sur tous les instantanés du compte uniquement dans un intervalle de temps spécifique. Cette politique autorise l'utilisation du EBS direct en APIs fonction de la clé de condition aws:CurrentTime
globale. Dans la politique, veillez à remplacer la plage de dates et d’heures affichée par la plage de dates et d’heures de votre politique.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "
2018-05-29T00:00:00Z
" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z
" } } } ] }
Pour plus d'informations, consultez la section Modification des autorisations d'un utilisateur dans le Guide de IAM l'utilisateur.
La politique suivante permet d'utiliser l'écriture EBS directe APIs sur tous les instantanés d'une AWS région spécifique. Dans la politique, remplacez <Region>
avec la région de l'instantané.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:
<Region>
::snapshot/*" } ] }
La politique suivante permet d'utiliser l'écriture EBS directe sur APIs les instantanés dotés d'une balise clé-valeur spécifique. Dans la politique, remplacez <Key>
avec la valeur clé de la balise, et <Value>
avec la valeur de la balise.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/
<Key>
": "<Value>
" } } } ] }
La politique suivante autorise l'utilisation de tous APIs les droits EBS directs. Elle n’autorise également l’action StartSnapshot
que si un ID d’instantané parent est spécifié. Par conséquent, cette politique bloque la possibilité de démarrer de nouveaux instantanés sans utiliser un instantané parent.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "StringEquals": { "ebs:ParentSnapshot": "arn:aws:ec2:*::snapshot/*" } } } ] }
La politique suivante autorise l'utilisation de tous APIs les droits EBS directs. Il permet également de créer uniquement la clé de balise user
pour un nouvel instantané. Cette politique garantit également que l’utilisateur dispose de l’accès approprié pour créer des balises. L’action StartSnapshot
est la seule action qui peut spécifier des balises.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": "user" } } }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "*" } ] }
La politique suivante autorise l'utilisation de l'intégralité de l'écriture EBS directe APIs sur tous les instantanés du compte uniquement dans un intervalle de temps spécifique. Cette politique autorise l'utilisation du EBS direct en APIs fonction de la clé de condition aws:CurrentTime
globale. Dans la politique, veillez à remplacer la plage de dates et d’heures affichée par la plage de dates et d’heures de votre politique.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "
2018-05-29T00:00:00Z
" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z
" } } } ] }
Pour plus d'informations, consultez la section Modification des autorisations d'un utilisateur dans le Guide de IAM l'utilisateur.
La politique suivante autorise le déchiffrement d'un instantané chiffré à l'aide d'une KMS clé spécifique. Il autorise également le chiffrement de nouveaux instantanés à l'aide de la KMS clé de chiffrement par défaut. EBS Dans la politique, remplacez <Region>
avec la région de la KMS clé, <AccountId>
avec l'identifiant du AWS compte associé à la KMS clé, et <KeyId>
avec l'identifiant de la KMS clé.
Note
Par défaut, tous les principaux associés au compte ont accès à la KMS clé AWS gérée par défaut pour le EBS chiffrement Amazon et peuvent l'utiliser pour les opérations de EBS chiffrement et de déchiffrement. Si vous utilisez une clé gérée par le client, vous devez créer une nouvelle politique de clé ou modifier la politique de clé existante pour la clé gérée par le client afin d’accorder au principal l’accès à la clé gérée par le client. Pour plus d’informations, consultez Politiques de clé dans AWS KMS dans le Guide du développeur AWS Key Management Service .
Astuce
Pour suivre le principe du moindre privilège, n’autorisez pas l’accès complet à kms:CreateGrant
. Utilisez plutôt la clé de kms:GrantIsForAWSResource
condition pour permettre à l'utilisateur de créer des autorisations sur la KMS clé uniquement lorsque l'autorisation est créée en son nom par un AWS service, comme indiqué dans l'exemple suivant.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:ReEncrypt*", "kms:CreateGrant", "ec2:CreateTags", "kms:DescribeKey" ], "Resource": "arn:aws:kms:
<Region>
:<AccountId>
:key/<KeyId>
", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
Pour plus d'informations, consultez la section Modification des autorisations d'un utilisateur dans le Guide de IAM l'utilisateur.