Amazon EBS 스냅샷 아카이빙에 필요한 권한 - Amazon EBS

Amazon EBS 스냅샷 아카이빙에 필요한 권한

기본적으로 사용자에게는 스냅샷 아카이빙을 사용할 수 있는 권한이 없습니다. 사용자가 스냅샷 아카이브를 사용하도록 허용하려면 특정 리소스 및 API 작업을 사용할 권한을 부여하는 IAM 정책을 생성해야 합니다. 자세한 내용은 IAM 사용 설명서의 IAM 정책 생성을 참조하세요.

스냅샷 아카이빙을 사용하려면 사용자에게 다음 권한이 필요합니다.

  • ec2:DescribeSnapshotTierStatus

  • ec2:ModifySnapshotTier

  • ec2:RestoreSnapshotTier

콘솔 사용자에게는 ec2:DescribeSnapshots 등의 추가 권한이 필요할 수 있습니다.

암호화된 스냅샷을 아카이빙하고 복원하려면 다음과 같은 추가 AWS KMS 권한이 필요합니다.

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

다음은 암호화된 스냅샷과 암호화되지 않은 스냅샷을 보관 및 복원하고 볼 수 있는 권한을 IAM 사용자에게 부여하는 IAM 정책의 예제입니다. 여기에는 콘솔 사용자에 대한 ec2:DescribeSnapshots 권한이 포함됩니다. 일부 권한이 필요하지 않은 경우 정책에서 권한을 제거할 수 있습니다.

작은 정보

최소 권한의 원칙을 따르려면 kms:CreateGrant에 대한 전체 액세스 권한을 허용하지 마세요. 대신에 kms:GrantIsForAWSResource 조건 키를 사용하여 AWS 서비스에서 사용자를 대신하여 권한이 부여되는 경우에만 사용자가 KMS 키에 대한 권한을 부여할 수 있도록 허용합니다.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "ec2:DescribeSnapshotTierStatus",
            "ec2:ModifySnapshotTier",
            "ec2:RestoreSnapshotTier",
            "ec2:DescribeSnapshots",
            "kms:CreateGrant",
            "kms:Decrypt",
            "kms:DescribeKey"
        ],
        "Resource": "*",
        "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
    }]
}

액세스 권한을 제공하려면 사용자, 그룹 또는 역할에 권한을 추가하세요:

  • AWS IAM Identity Center의 사용자 및 그룹:

    권한 세트를 생성합니다. AWS IAM Identity Center 사용 설명서권한 세트 생성의 지침을 따릅니다.

  • 보안 인증 공급자를 통해 IAM에서 관리되는 사용자:

    ID 페더레이션을 위한 역할을 생성합니다. IAM 사용 설명서서드 파티 자격 증명 공급자의 역할 만들기(페더레이션)의 지침을 따릅니다.

  • IAM 사용자:

    • 사용자가 맡을 수 있는 역할을 생성합니다. IAM 사용 설명서에서 IAM 사용자의 역할 생성의 지침을 따릅니다.

    • (권장되지 않음)정책을 사용자에게 직접 연결하거나 사용자를 사용자 그룹에 추가합니다. IAM 사용 설명서에서 사용자(콘솔)에 권한 추가의 지침을 따르십시오.