Permissões do IAM necessárias para arquivar snapshots do Amazon EBS

Por padrão, os usuários não têm permissão para usar o arquivamento de snapshots. Para permitir que os usuários usem arquivamento de snapshots, crie políticas do IAM que concedam permissão para o uso dos recursos e ações de API específicos. Para obter mais informações, consulte Criar políticas do IAM no Guia do usuário do IAM.

Para usar o arquivamento de snapshots, os usuários precisam das permissões a seguir.

ec2:DescribeSnapshotTierStatus
ec2:ModifySnapshotTier
ec2:RestoreSnapshotTier

Os usuários do console podem precisar de permissões adicionais, como ec2:DescribeSnapshots.

Para arquivar e restaurar instantâneos criptografados, as seguintes AWS KMS permissões adicionais são necessárias.

kms:CreateGrant
kms:Decrypt
kms:DescribeKey

A seguir está um exemplo de política do IAM que dá aos usuários do IAM permissão para arquivar, restaurar e visualizar snapshots criptografados e não criptografados. Isso inclui a permissão ec2:DescribeSnapshots para usuários do console. Se algumas permissões não forem necessárias, você poderá removê-las da política.

dica

Para seguir o princípio de menor privilégio, não permita acesso total a kms:CreateGrant. Em vez disso, use a chave de kms:GrantIsForAWSResource condição para permitir que o usuário crie concessões na chave KMS somente quando a concessão for criada em nome do usuário por um AWS serviço, conforme mostrado no exemplo a seguir.


{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "ec2:DescribeSnapshotTierStatus",
            "ec2:ModifySnapshotTier",
            "ec2:RestoreSnapshotTier",
            "ec2:DescribeSnapshots",
            "kms:CreateGrant",
            "kms:Decrypt",
            "kms:DescribeKey"
        ],
        "Resource": "*",
        "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
    }]
}

Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:

Usuários e grupos em AWS IAM Identity Center:

Crie um conjunto de permissões. Siga as instruções em Criação de um conjunto de permissões no Guia do usuário do AWS IAM Identity Center .
Usuários gerenciados no IAM com provedor de identidades:

Crie um perfil para a federação de identidades. Siga as instruções em Criando um perfil para um provedor de identidades de terceiros (federação) no Guia do Usuário do IAM.
Usuários do IAM:
- Crie um perfil que seu usuário possa assumir. Siga as instruções em Criação de um perfil para um usuário do IAM no Guia do usuário do IAM.
- (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em Adição de permissões a um usuário (console) no Guia do usuário do IAM.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Diretrizes e práticas recomendadas

Arquivar um snapshot