翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EBS スナップショットロックへのアクセスを制御する

デフォルトでは、 ユーザーにはスナップショットロックを使用する許可はありません。ユーザーがスナップショットロックを使用できるようにするには、特定のリソースと IAM アクションを使用するアクセス許可を付与する API ポリシーを作成する必要があります。詳細については、IAM ユーザーガイド」のIAM ポリシーの作成」を参照してください。

必要なアクセス許可

スナップショットロックを使用するには、次の許可をユーザーに付与する必要があります。

以下は、スナップショットをロックおよびロック解除し、スナップショットロック設定を表示するアクセス許可をユーザーに付与する IAM ポリシーの例です。これには、コンソールユーザーの ec2:DescribeSnapshots 許可が含まれます。一部の許可が不要な場合は、ポリシーから削除できます。

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "ec2:LockSnapshot",
            "ec2:UnlockSnapshot",
            "ec2:DescribeLockedSnapshots",
            "ec2:DescribeSnapshots"
        ]
    }]
}

アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。

条件キーでアクセスを制限します。

条件キーを使用して、スナップショットをロックする方法を制限できます。

ec2:SnapshotLockDuration

ec2:SnapshotLockDuration 条件キーを使用すると、スナップショットをロックするときにユーザーが指定できるロック期間を制限できます。

次のポリシー例では、ユーザーが指定できるロック期間を 10～50 日に制限しています。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:LockSnapshot",
      "Resource": "arn:aws:ec2:region::snapshot/*"
      "Condition": {
        "NumericGreaterThan" : {
          "ec2:SnapshotLockDuration" : 10
        }
        "NumericLessThan":{ 
          "ec2:SnapshotLockDuration": 50
        }
      }
    }
  ]
}

ec2:CoolOffPeriod

ec2:CoolOffPeriod 条件キーを使用すると、ユーザーがクーリングオフ期間を設定していないコンプライアンスモードでスナップショットをロックできないようにすることができます。

以下のポリシー例では、コンプライアンスモードでスナップショットをロックする際、ユーザーがクーリングオフ期間を 48 時間より長く指定することを制限しています。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:LockSnapshot",
      "Resource": "arn:aws:ec2:region::snapshot/*"
      "Condition": {
        "NumericGreaterThan": {
          "ec2:CoolOffPeriod": 48
        }
      }
    }
  ]
}