As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controlar o acesso às APIs diretas do EBS usando o IAM
Um usuário do precisa ter as políticas a seguir para usar as APIs diretas do EBS. Para obter mais informações, consulte Alterar permissões para um usuário.
Para mais informações sobre os recursos, ações e chaves contextuais de condição de APIs diretas do EBS para uso em políticas de permissão do IAM, consulte Ações, recursos e chaves de condição do Amazon Elastic Block Store na Referência de autorização do serviço.
Importante
Tenha cuidado ao atribuir as seguintes políticas aos usuários do . Ao atribuir essas políticas, é possível conceder acesso a um usuário que tenha acesso negado ao mesmo recurso por meio das APIs do Amazon EC2, como as ações CopySnapshot ou CreateVolume.
A política a seguir permite que as APIs diretas do EBS de leitura sejam usadas em todos os snapshots em uma região específica da AWS. Na política, substitua <Region> pela região do snapshot.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:<Region>::snapshot/*" } ] }
A política a seguir permite que a leitura das APIs diretas do EBS seja usada em snapshots com uma tag de chave/valor específica. Na política, substitua <Key> pelo valor de chave da tag e <Value> pelo valor da tag.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/<Key>": "<Value>" } } } ] }
A política a seguir permite que todas as APIs diretas do EBS de leitura sejam usadas em todos os snapshots da conta apenas dentro de um intervalo de tempo específico. Essa política autoriza o uso das APIs diretas do EBS baseadas na chave de condição global aws:CurrentTime. Na política, substitua o intervalo de data e hora mostrado pelo intervalo de data e hora da sua política.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2018-05-29T00:00:00Z" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z" } } } ] }
Para obter mais informações, consulte Alteração de permissões para um usuário no Guia do usuário do IAM.
A política a seguir permite que as APIs diretas do EBS de gravação sejam usadas em todos os snapshots em uma região específica da AWS. Na política, substitua <Region> pela região do snapshot.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:<Region>::snapshot/*" } ] }
A política a seguir permite que a gravação das APIs diretas do EBS seja usada em snapshots com uma tag de chave/valor específica. Na política, substitua <Key> pelo valor de chave da tag e <Value> pelo valor da tag.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/<Key>": "<Value>" } } } ] }
A política a seguir permite que todas as APIs diretas do EBS sejam usadas. Ela também permite a ação StartSnapshot somente se um ID de snapshot pai for especificado. Portanto, essa política bloqueia a capacidade de iniciar novos snapshots sem o uso de um snapshot pai.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "StringEquals": { "ebs:ParentSnapshot": "arn:aws:ec2:*::snapshot/*" } } } ] }
A política a seguir permite que todas as APIs diretas do EBS sejam usadas. Ela também permite que apenas a chave de tag user seja criada para um novo snapshot. Essa política também garante que o usuário tenha acesso à criação de tags. A ação StartSnapshot é a única ação que pode especificar tags.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": "user" } } }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "*" } ] }
A política a seguir permite que todas as APIs diretas do EBS de gravação sejam usadas em todos os snapshots da conta apenas dentro de um intervalo de tempo específico. Essa política autoriza o uso das APIs diretas do EBS baseadas na chave de condição global aws:CurrentTime. Na política, substitua o intervalo de data e hora mostrado pelo intervalo de data e hora da sua política.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2018-05-29T00:00:00Z" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z" } } } ] }
Para obter mais informações, consulte Alteração de permissões para um usuário no Guia do usuário do IAM.
A política a seguir concede permissão para descriptografar um snapshot criptografado usando uma chave do KMS específica. Ela também concede permissão para criptografar novos snapshots usando a chave padrão do KMS para criptografia do EBS. Na política, substitua <Region> pela região da chave do KMS, <AccountId> pelo ID da conta da AWS da chave do KMS e <KeyId> pelo ID da chave do KMS.
nota
Por padrão, todas as entidades principais na conta têm acesso à chave padrão gerenciada pela AWS para Amazon EBS e podem usá-la para operações de criptografia e descriptografia do EBS. Se você estiver usando uma chave gerenciada pelo cliente, deverá criar uma nova política de chaves ou modificar a política de chaves existente para a chave gerenciada pelo cliente para conceder ao principal acesso à chave gerenciada pelo cliente. Para obter mais informações, consulte Políticas de chaves no AWS KMS no Guia do desenvolvedor do AWS Key Management Service.
dica
Para seguir o princípio de menor privilégio, não permita acesso total a kms:CreateGrant. Em vez disso, use a chave de condição kms:GrantIsForAWSResource para permitir que o usuário crie concessões na chave do KMS somente quando a concessão for criada em nome do usuário por um serviço da AWS, conforme mostrado no exemplo a seguir.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:ReEncrypt*", "kms:CreateGrant", "ec2:CreateTags", "kms:DescribeKey" ], "Resource": "arn:aws:kms:<Region>:<AccountId>:key/<KeyId>", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
Para obter mais informações, consulte Alteração de permissões para um usuário no Guia do usuário do IAM.
