Permissões obrigatórias do IAM

Por padrão, os usuários não têm permissão para usar o arquivamento de snapshots. Para permitir que os usuários usem arquivamento de snapshots, crie políticas do IAM que concedam permissão para o uso dos recursos e ações de API específicos. Para obter mais informações, consulte Criar políticas do IAM no Guia do usuário do IAM.

Para usar o arquivamento de snapshots, os usuários precisam das permissões a seguir.

ec2:DescribeSnapshotTierStatus
ec2:ModifySnapshotTier
ec2:RestoreSnapshotTier

Os usuários do console podem precisar de permissões adicionais, como ec2:DescribeSnapshots.

Para arquivar e restaurar instantâneos criptografados, são necessárias as seguintes permissões adicionais do AWS KMS.

kms:CreateGrant
kms:Decrypt
kms:DescribeKey

A seguir está um exemplo de política do IAM que dá aos usuários do IAM permissão para arquivar, restaurar e visualizar snapshots criptografados e não criptografados. Isso inclui a permissão ec2:DescribeSnapshots para usuários do console. Se algumas permissões não forem necessárias, você poderá removê-las da política.

dica

Para seguir o princípio de menor privilégio, não permita acesso total a kms:CreateGrant. Em vez disso, use a chave de condição kms:GrantIsForAWSResource para permitir que o usuário crie concessões na chave do KMS somente quando a concessão for criada em nome do usuário por um serviço da AWS, conforme mostrado no exemplo a seguir.


{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "ec2:DescribeSnapshotTierStatus",
            "ec2:ModifySnapshotTier",
            "ec2:RestoreSnapshotTier",
            "ec2:DescribeSnapshots",
            "kms:CreateGrant",
            "kms:Decrypt",
            "kms:DescribeKey"
        ],
        "Resource": "*",
        "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
    }]
}

Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:

Usuários e grupos no AWS IAM Identity Center:

Crie um conjunto de permissões. Siga as instruções em Criação de um conjunto de permissões no Guia do usuário do AWS IAM Identity Center.
Usuários gerenciados no IAM com provedor de identidades:

Crie um perfil para a federação de identidades. Siga as instruções em Criar um perfil para um provedor de identidades de terceiros (federação) no Guia do usuário do IAM.
Usuários do IAM:
- Crie um perfil que seu usuário possa assumir. Siga as instruções em Criação de um perfil para um usuário do IAM no Guia do usuário do IAM.
- (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em Adição de permissões a um usuário (console) no Guia do usuário do IAM.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Diretrizes e práticas recomendadas para arquivamento de snapshots

Trabalhar com arquivamento de snapshots