Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlla l'accesso diretto a EBS APIs tramite IAM
Un utente deve disporre delle seguenti politiche per utilizzare EBS Direct. APIs Per ulteriori informazioni, consulta Modifica delle autorizzazioni per un utente.
Per ulteriori informazioni sulle APIs risorse dirette, le azioni e le chiavi di contesto delle condizioni di EBS da utilizzare nelle politiche di autorizzazione IAM, consulta Azioni, risorse e chiavi di condizione per Amazon Elastic Block Store nel Service Authorization Reference.
Importante
Presta attenzione quando assegni le seguenti policy agli utenti . Assegnando queste politiche, potresti consentire l'accesso a un utente a cui viene negato l'accesso alla stessa risorsa tramite Amazon EC2 APIs, come le CreateVolume azioni CopySnapshot o.
La seguente politica consente di utilizzare la lettura diretta APIs di EBS su tutte le istantanee in una regione specifica. AWS Nella politica, sostituisci <Region> con la regione dell'istantanea.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:<Region>::snapshot/*" } ] }
La seguente politica consente di utilizzare la lettura diretta APIs di EBS su istantanee con un tag chiave-valore specifico. Nella policy, sostituiscilo <Key> con il valore chiave del tag e <Value> con il valore del tag.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/<Key>": "<Value>" } } } ] }
La seguente politica consente di utilizzare tutta la lettura diretta APIs di EBS su tutte le istantanee dell'account solo entro un intervallo di tempo specifico. Questa politica autorizza l'uso di EBS direct in APIs base alla chiave di condizione globale. aws:CurrentTime Nella policy, sostituisci l'intervallo di data e ora visualizzato con l'intervallo di data e ora per la policy.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2018-05-29T00:00:00Z" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z" } } } ] }
Per ulteriori informazioni, consulta Modifica delle autorizzazioni per un utente IAM nella Guida per l'utente IAM.
La seguente politica consente di utilizzare la scrittura EBS Direct APIs su tutte le istantanee in una regione specifica. AWS Nella politica, sostituisci <Region> con la regione dell'istantanea.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:<Region>::snapshot/*" } ] }
La seguente politica consente di utilizzare la scrittura EBS diretta APIs su istantanee con un tag chiave-valore specifico. Nella policy, sostituiscilo <Key> con il valore chiave del tag e <Value> con il valore del tag.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/<Key>": "<Value>" } } } ] }
La seguente politica consente l'utilizzo diretto APIs di tutti gli EBS. Consente inoltre l'operazione StartSnapshot solo se viene specificato un ID snapshot padre. Pertanto, questa policy blocca la possibilità di avviare nuovi snapshot se non si specifica uno snapshot padre.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "StringEquals": { "ebs:ParentSnapshot": "arn:aws:ec2:*::snapshot/*" } } } ] }
La seguente politica consente di utilizzare tutti gli EBS Direct APIs . Consente inoltre di creare la chiave di tag user per un nuovo snapshot. Questa policy garantisce inoltre che l'utente abbia accesso alla creazione di tag. L'operazione StartSnapshot è l'unica in grado di specificare i tag.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": "user" } } }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "*" } ] }
La seguente politica consente di utilizzare tutta la scrittura diretta APIs di EBS su tutte le istantanee dell'account solo entro un intervallo di tempo specifico. Questa politica autorizza l'uso di EBS direct in APIs base alla chiave di condizione globale. aws:CurrentTime Nella policy, sostituisci l'intervallo di data e ora visualizzato con l'intervallo di data e ora per la policy.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2018-05-29T00:00:00Z" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z" } } } ] }
Per ulteriori informazioni, consulta Modifica delle autorizzazioni per un utente IAM nella Guida per l'utente IAM.
La policy seguente concede l'autorizzazione per decrittografare uno snapshot crittografato utilizzando una chiave KMS specifica. Garantisce inoltre l'autorizzazione per crittografare nuovi snapshot usando la chiave KMS di default per la crittografia EBS. Nella politica, <Region> sostituiscila con la regione della chiave KMS, <AccountId> con l'ID dell' AWS account della chiave KMS e <KeyId> con l'ID della chiave KMS.
Nota
Per impostazione predefinita, tutti i responsabili dell'account hanno accesso alla chiave KMS AWS gestita predefinita per la crittografia Amazon EBS e possono utilizzarla per le operazioni di crittografia e decrittografia EBS. Se usi una chiave gestita dal cliente, devi creare una nuova policy della chiave o modificare la politica della chiave esistente per la chiave gestita dal cliente, per consentire all'entità principale di accedervi. Per ulteriori informazioni, consulta Policy delle chiavi in AWS KMS nella Guida per gli sviluppatori di AWS Key Management Service .
Suggerimento
Per seguire il principio del privilegio minimo, non consentire l'accesso completo a kms:CreateGrant. Utilizza invece la chiave kms:GrantIsForAWSResource condition per consentire all'utente di creare concessioni sulla chiave KMS solo quando la concessione viene creata per conto dell'utente da un AWS servizio, come mostrato nell'esempio seguente.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:ReEncrypt*", "kms:CreateGrant", "ec2:CreateTags", "kms:DescribeKey" ], "Resource": "arn:aws:kms:<Region>:<AccountId>:key/<KeyId>", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
Per ulteriori informazioni, consulta Modifica delle autorizzazioni per un utente IAM nella Guida per l'utente IAM.
