配置阻止 Amazon EBS 快照的公开访问 - Amazon EBS

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置阻止 Amazon EBS 快照的公开访问

启用阻止公开访问快照,以防止在此区域中公开共享快照。启用此功能之后,将阻止在此区域中公开共享快照的请求。

重要

如果在阻止所有共享模式下启用阻止快照公开访问,则不会更改对已公开共享的快照的权限。实际上,它会阻止这些快照公开可见和可公开访问。因此,这些快照的属性仍然表明它们是公开共享的,尽管它们不可公开访问。

如果您稍后禁用阻止公开访问或更改模式以阻止新共享,则这些快照将再次公开可用。

注意

此设置是在账户级别配置,可以直接在账户中配置,也可以使用声明式策略进行配置。必须在每个要防止公开共享快照 AWS 区域 的地方进行配置。使用声明式策略可同时将设置应用于多个区域,也可以同时应用于多个账户。当使用声明式策略时,您无法直接在账户中修改设置。本主题介绍如何直接在账户中配置设置。有关使用声明式策略的信息,请参阅《AWS Organizations User Guide》中的 Declarative policies

Console
要配置阻止公开访问快照

  1. 打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/

  2. 在导航窗格中,选择 “EC2 控制面板”,然后在 “帐户属性”(右侧)中,选择 “数据保护和安全”。

  3. 阻止公开访问 EBS 快照部分中,选择管理

  4. 选择阻止公开访问,然后选择以下选项之一:

    • 阻止所有公开访问 – 阻止所有公开共享快照的行为。此账户中的用户无法请求新的公开共享。此外,已公开共享的快照将被视为私有快照,且不可公开访问。

    • 阻止新的公开共享 – 仅阻止公开共享快照的新行为。此账户中的用户无法请求新的公开共享。不过,已经公开共享的快照仍可公开访问。

  5. 选择更新

AWS CLI
要启用或修改阻止公开访问快照

使用 enable-snapshot-block-public-access 命令。对于 --state,请指定下列值之一:

  • block-all-sharing – 阻止所有公开共享快照的行为。此账户中的用户无法请求新的公开共享。此外,已公开共享的快照将被视为私有快照,且不可公开访问。

  • block-new-sharing – 仅阻止公开共享快照的新行为。此账户中的用户无法请求新的公开共享。不过,已经公开共享的快照仍可公开访问。

为特定区域启用或修改阻止快照公开访问

aws ec2 enable-snapshot-block-public-access \
--state block-all-sharing|block-new-sharing \
--region us-east-1

示例输出

{
    "State": "block-new-sharing"
}

为所有区域启用或修改阻止快照公开访问

echo -e "Region   \t Public Access State" ; \
echo -e "-------------- \t ----------------------" ; \
for region in $(
    aws ec2 describe-regions \
        --region us-east-1 \
        --query "Regions[*].[RegionName]" \
        --output text
    ); 
    do (output=$(
        aws ec2 enable-snapshot-block-public-access \
            --region $region \
            --state block-all-sharing|block-new-sharing \
            --output text)
        echo -e "$region \t $output" 
    );
done

示例输出

Region           Public Access State
--------------   ----------------------
ap-south-1       block-new-sharing
eu-north-1       block-new-sharing
eu-west-3        block-new-sharing
…
Tools for PowerShell
要启用或修改阻止公开访问快照

使用 Enable-EC2SnapshotBlockPublicAccess 命令。对于 -State,请指定下列值之一:

  • block-all-sharing – 阻止所有公开共享快照的行为。此账户中的用户无法请求新的公开共享。此外,已公开共享的快照将被视为私有快照,且不可公开访问。

  • block-new-sharing – 仅阻止公开共享快照的新行为。此账户中的用户无法请求新的公开共享。不过,已经公开共享的快照仍可公开访问。

为特定区域启用或修改阻止快照公开访问

Enable-EC2SnapshotBlockPublicAccess `
-Region us-east-1 `
-State block-new-sharing | block-all-sharing

示例输出

Value
-----
block-new-sharing

为所有区域启用或修改阻止快照公开访问

(Get-EC2Region -Region us-east-1).RegionName | `
    ForEach-Object {
    [PSCustomObject]@{
        Region            = $_
        PublicAccessState = (
            Enable-EC2SnapshotBlockPublicAccess `
                -Region $_ `
                -State block-new-sharing | block-all-sharing)
    }
} | `
Format-Table -AutoSize

示例输出

Region         PublicAccessState
------         -----------------
ap-south-1     block-new-sharing
eu-north-1     block-new-sharing
eu-west-3      block-new-sharing
...