Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlla l'accesso ad Amazon EBS Snapshot Lock
Per impostazione predefinita, gli utenti non dispongono dell'autorizzazione per utilizzare i blocchi degli snapshot. Per consentire agli utenti di utilizzare i blocchi snapshot, è necessario creare IAM politiche che consentano l'uso di risorse e azioni specifiche. API Per ulteriori informazioni, consulta Creazione IAM di politiche nella Guida per l'IAMutente.
Autorizzazioni richieste
Per utilizzare i blocchi degli snapshot, gli utenti devono disporre delle seguenti autorizzazioni.
-
ec2:LockSnapshot: per bloccare gli snapshot. -
ec2:UnlockSnapshot: per sbloccare gli snapshot. -
ec2:DescribeLockedSnapshots: per visualizzare le impostazioni di blocco degli snapshot.
Di seguito è riportato un esempio di IAM policy che consente agli utenti di bloccare e sbloccare le istantanee e di visualizzare le impostazioni di blocco delle istantanee. Include l'autorizzazione ec2:DescribeSnapshots per gli utenti della console. Se qualche autorizzazione non è necessaria, puoi rimuoverla dalla policy.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:LockSnapshot", "ec2:UnlockSnapshot", "ec2:DescribeLockedSnapshots", "ec2:DescribeSnapshots" ] }] }
Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:
-
Utenti e gruppi in: AWS IAM Identity Center
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
-
Utenti gestiti IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate in Creare un ruolo per un provider di identità di terze parti (federazione) nella Guida per l'IAMutente.
-
IAMutenti:
-
Crea un ruolo che l'utente possa assumere. Segui le istruzioni riportate in Creare un ruolo per un IAM utente nella Guida per l'IAMutente.
-
(Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate in Aggiungere autorizzazioni a un utente (console) nella Guida per l'IAMutente.
-
Limitazione dell'accesso con le chiavi di condizione
È possibile utilizzare chiavi di condizione per limitare il modo in cui gli utenti possono bloccare gli snapshot.
ec2: SnapshotLockDuration
È possibile utilizzare la chiave di condizione ec2:SnapshotLockDuration per limitare gli utenti a durate di blocco specifiche quando si bloccano gli snapshot.
La seguente policy di esempio limita gli utenti a specificare una durata di blocco compresa tra 10 e 50 giorni.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:LockSnapshot", "Resource": "arn:aws:ec2:region::snapshot/*" "Condition": { "NumericGreaterThan" : { "ec2:SnapshotLockDuration" : 10 } "NumericLessThan":{ "ec2:SnapshotLockDuration": 50 } } } ] }
ec2: CoolOffPeriod
È possibile utilizzare la chiave di condizione ec2:CoolOffPeriod per impedire agli utenti di bloccare gli snapshot in modalità di conformità senza un periodo di raffreddamento.
La seguente policy di esempio limita gli utenti a specificare un periodo di raffreddamento superiore a 48 ore quando bloccano gli snapshot in modalità di conformità.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:LockSnapshot", "Resource": "arn:aws:ec2:region::snapshot/*" "Condition": { "NumericGreaterThan": { "ec2:CoolOffPeriod": 48 } } } ] }
