Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autorisations IAM requises pour l'archivage des instantanés Amazon EBS
Par défaut, les utilisateurs ne sont pas autorisés à utiliser l’archivage des instantanés. Pour permettre aux utilisateurs d’utiliser l’archivage des instantanés, vous devez créer des politiques IAM qui accordent l’autorisation d’utiliser des ressources et des actions d’API spécifiques. Pour plus d’informations, consultez Création de politiques IAM dans le Guide de l’utilisateur IAM.
Pour utiliser l’archivage des instantanés, les utilisateurs ont besoin des autorisations suivantes.
-
ec2:DescribeSnapshotTierStatus
-
ec2:ModifySnapshotTier
-
ec2:RestoreSnapshotTier
Les utilisateurs de la console peuvent avoir besoin d’autorisations supplémentaires telles que ec2:DescribeSnapshots
.
Pour archiver et restaurer des instantanés chiffrés, les AWS KMS autorisations supplémentaires suivantes sont requises.
-
kms:CreateGrant
-
kms:Decrypt
-
kms:DescribeKey
Voici un exemple de politique IAM qui autorise les utilisateurs IAM à archiver, restaurer et afficher des instantanés chiffrés et non chiffrés. Elle inclut l’autorisation ec2:DescribeSnapshots
pour les utilisateurs de la console. Si certaines autorisations ne sont pas nécessaires, vous pouvez les supprimer de la politique.
Astuce
Pour suivre le principe du moindre privilège, n’autorisez pas l’accès complet à kms:CreateGrant
. Utilisez plutôt la clé de kms:GrantIsForAWSResource
condition pour autoriser l'utilisateur à créer des autorisations sur la clé KMS uniquement lorsque l'autorisation est créée en son nom par un AWS service, comme indiqué dans l'exemple suivant.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeSnapshotTierStatus", "ec2:ModifySnapshotTier", "ec2:RestoreSnapshotTier", "ec2:DescribeSnapshots", "kms:CreateGrant", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } }] }
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
-
Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique Création d’un jeu d’autorisations du Guide de l’utilisateur AWS IAM Identity Center .
-
Utilisateurs gérés dans IAM par un fournisseur d’identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique Création d’un rôle pour un fournisseur d’identité tiers (fédération) dans le Guide de l’utilisateur IAM.
-
Utilisateurs IAM :
-
Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique Création d’un rôle pour un utilisateur IAM dans le Guide de l’utilisateur IAM.
-
(Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique Ajout d’autorisations à un utilisateur (console) du Guide de l’utilisateur IAM.
-