Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôlez l'accès à Amazon EBS Snapshot Lock
Par défaut, les utilisateurs ne sont pas autorisés à utiliser les verrouillages d’instantanés. Pour autoriser les utilisateurs à utiliser des verrous instantanés, vous devez créer des IAM politiques autorisant l'utilisation de ressources et d'APIactions spécifiques. Pour plus d'informations, consultez la section Création IAM de politiques dans le guide de IAM l'utilisateur.
Autorisations nécessaires
Pour utiliser les verrouillages d’instantanés, les utilisateurs ont besoin des autorisations suivantes.
-
ec2:LockSnapshot: pour verrouiller les instantanés. -
ec2:UnlockSnapshot: pour déverrouiller les instantanés. -
ec2:DescribeLockedSnapshots: pour afficher les paramètres de verrouillage d’instantané.
Voici un exemple de IAM politique qui autorise les utilisateurs à verrouiller et à déverrouiller des instantanés, ainsi qu'à consulter les paramètres de verrouillage des instantanés. Elle inclut l’autorisation ec2:DescribeSnapshots pour les utilisateurs de la console. Si certaines autorisations ne sont pas nécessaires, vous pouvez les supprimer de la politique.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:LockSnapshot", "ec2:UnlockSnapshot", "ec2:DescribeLockedSnapshots", "ec2:DescribeSnapshots" ] }] }
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
-
Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique Création d’un jeu d’autorisations du Guide de l’utilisateur AWS IAM Identity Center .
-
Utilisateurs gérés IAM via un fournisseur d'identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la section Créer un rôle pour un fournisseur d'identité tiers (fédération) dans le guide de IAM l'utilisateur.
-
IAMutilisateurs :
-
Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la section Création d'un rôle pour un IAM utilisateur dans le guide de IAM l'utilisateur.
-
(Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la section Ajouter des autorisations à un utilisateur (console) dans le guide de IAM l'utilisateur.
-
Limitation de l’accès avec des clés de condition
Vous pouvez utiliser des clés de condition pour limiter la manière dont les utilisateurs sont autorisés à verrouiller les instantanés.
EC2 : SnapshotLockDuration
Vous pouvez utiliser la clé de condition ec2:SnapshotLockDuration pour limiter les utilisateurs à des durées de verrouillage spécifiques lors du verrouillage d’instantanés.
L’exemple de politique suivant limite les utilisateurs à spécifier une durée de verrouillage comprise entre 10 et 50 jours.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:LockSnapshot", "Resource": "arn:aws:ec2:region::snapshot/*" "Condition": { "NumericGreaterThan" : { "ec2:SnapshotLockDuration" : 10 } "NumericLessThan":{ "ec2:SnapshotLockDuration": 50 } } } ] }
EC2 : CoolOffPeriod
Vous pouvez utiliser la clé de condition ec2:CoolOffPeriod pour empêcher les utilisateurs de verrouiller les instantanés en mode de conformité sans période de réflexion.
L’exemple de politique suivant limite les utilisateurs à spécifier une période de réflexion supérieure à 48 heures lorsqu’ils verrouillent des instantanés en mode de conformité.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:LockSnapshot", "Resource": "arn:aws:ec2:region::snapshot/*" "Condition": { "NumericGreaterThan": { "ec2:CoolOffPeriod": 48 } } } ] }
