Izin yang diperlukan Batasi akses dengan kunci syarat

Kontrol akses ke kunci snapshot Amazon EBS

Secara default, pengguna tidak memiliki izin untuk bekerja dengan kunci snapshot. Untuk mengizinkan pengguna bekerja dengan sumber daya ini, Anda harus membuat kebijakan IAM yang memberikan izin menggunakan sumber daya dan tindakan API tertentu. Untuk informasi selengkapnya, lihat Membuat kebijakan IAM dalam Panduan Pengguna IAM.

Izin yang diperlukan

Untuk bekerja dengan kunci snapshot, pengguna memerlukan izin berikut.

ec2:LockSnapshot — Untuk mengunci snapshot.
ec2:UnlockSnapshot — Untuk membuka kunci snapshot.
ec2:DescribeLockedSnapshots — Untuk melihat pengaturan kunci snapshot.

Berikut ini adalah contoh kebijakan IAM yang memberi pengguna izin untuk mengunci dan membuka kunci snapshot, dan untuk melihat pengaturan kunci snapshot. Ini termasuk izin ec2:DescribeSnapshots untuk pengguna konsol. Jika beberapa izin tidak diperlukan, Anda dapat menghapusnya dari kebijakan.


{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "ec2:LockSnapshot",
            "ec2:UnlockSnapshot",
            "ec2:DescribeLockedSnapshots",
            "ec2:DescribeSnapshots"
        ]
    }]
}

Untuk memberikan akses dan menambahkan izin bagi pengguna, grup, atau peran Anda:

Pengguna dan grup di AWS IAM Identity Center:

Buat rangkaian izin. Ikuti instruksi di Buat rangkaian izin di Panduan Pengguna AWS IAM Identity Center .
Pengguna yang dikelola di IAM melalui penyedia identitas:

Buat peran untuk federasi identitas. Ikuti instruksi dalam Buat peran untuk penyedia identitas pihak ketiga (federasi) dalam Panduan Pengguna IAM.
Pengguna IAM:
- Buat peran yang dapat diambil pengguna Anda. Ikuti instruksi dalam Buat peran untuk pengguna IAM dalam Panduan Pengguna IAM.
- (Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam Menambahkan izin ke pengguna (konsol) dalam Panduan Pengguna IAM.

Batasi akses dengan kunci syarat

Anda dapat menggunakan kunci syarat untuk membatasi cara pengguna diizinkan untuk mengunci snapshot.

Topik

EC2: SnapshotLockDuration
EC2: CoolOffPeriod

EC2: SnapshotLockDuration

Anda dapat menggunakan kunci syarat ec2:SnapshotLockDuration untuk membatasi pengguna pada durasi kunci tertentu saat mengunci snapshot.

Contoh kebijakan berikut membatasi pengguna untuk menentukan durasi kunci antara 10 dan 50 hari.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:LockSnapshot",
      "Resource": "arn:aws:ec2:region::snapshot/*"
      "Condition": {
        "NumericGreaterThan" : {
          "ec2:SnapshotLockDuration" : 10
        }
        "NumericLessThan":{ 
          "ec2:SnapshotLockDuration": 50
        }
      }
    }
  ]
}

EC2: CoolOffPeriod

Anda dapat menggunakan kunci syarat ec2:CoolOffPeriod untuk mencegah pengguna mengunci snapshot dalam mode kepatuhan tanpa periode pendinginan.

Contoh kebijakan berikut membatasi pengguna untuk menentukan periode pendinginan lebih dari 48 jam saat mengunci snapshot dalam mode kepatuhan.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:LockSnapshot",
      "Resource": "arn:aws:ec2:region::snapshot/*"
      "Condition": {
        "NumericGreaterThan": {
          "ec2:CoolOffPeriod": 48
        }
      }
    }
  ]
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Pertimbangan

Mengunci snapshot