設定 Amazon EBS 快照的封鎖公開存取 - Amazon EBS

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 Amazon EBS 快照的封鎖公開存取

啟用快照的公開存取功能,以禁止公開共用特定區域中的快照。啟用此功能後,會封鎖指定區域中公開共用快照的請求。

重要

在封鎖所有共用模式中啟用快照的封鎖公開存取,並不會變更已公開共用之快照的許可。而是會禁止這些快照公開顯示和公開存取。因此,雖然這些快照實際上不開放公開使用,但其屬性仍顯示為公開共用。

如果您稍後停用封鎖公開存取或變更模式以封鎖新的共用,這些快照將再次公開。

注意

此設定是在帳戶層級配置,可直接在帳戶中設定,或使用宣告式政策設定。必須在您想要防止公開共用快照的每個 AWS 區域 中設定它。您可使用宣告式政策同時在多個區域及多個帳戶套用設定。使用宣告式政策時,您無法直接在帳戶中修改設定。本主題說明如何直接在帳戶內配置設定。如需使用宣告式政策的相關資訊,請參閱「AWS Organizations 使用者指南」中的宣告式政策

Console
設定快照的封鎖公開存取功能

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 EC2 儀表板,然後在帳戶屬性 (右側) 中選擇資料保護和安全性

  3. EBS 快照的封鎖公開存取區段中,選擇管理

  4. 選取封鎖公開存取,然後選擇下列其中一個選項:

    • 封鎖所有公開存取:封鎖快照的所有公開共用。帳戶使用者無法請求新的公開共用。此外,已公開共用的快照會被視為私有快照,不再開放公開使用。

    • 封鎖新公開共用:僅封鎖快照的新公開共用。帳戶使用者無法請求新的公開共用。但是已公開共用的快照仍會維持開放公開使用。

  5. 選擇更新

AWS CLI
啟用或修改快照的封鎖公開存取設定

使用 enable-snapshot-block-public-access 命令。為 --state 指定下列其中一個值:

  • block-all-sharing:封鎖快照的所有公開共用。帳戶使用者無法請求新的公開共用。此外,已公開共用的快照會被視為私有快照,不再開放公開使用。

  • block-new-sharing:僅封鎖快照的新公開共用。帳戶使用者無法請求新的公開共用。但是已公開共用的快照仍會維持開放公開使用。

針對特定區域啟用或修改快照的封鎖公開存取

aws ec2 enable-snapshot-block-public-access \
--state block-all-sharing|block-new-sharing \
--region us-east-1

範例輸出

{
    "State": "block-new-sharing"
}

啟用或修改所有區域的快照封鎖公開存取

echo -e "Region   \t Public Access State" ; \
echo -e "-------------- \t ----------------------" ; \
for region in $(
    aws ec2 describe-regions \
        --region us-east-1 \
        --query "Regions[*].[RegionName]" \
        --output text
    ); 
    do (output=$(
        aws ec2 enable-snapshot-block-public-access \
            --region $region \
            --state block-all-sharing|block-new-sharing \
            --output text)
        echo -e "$region \t $output" 
    );
done

範例輸出

Region           Public Access State
--------------   ----------------------
ap-south-1       block-new-sharing
eu-north-1       block-new-sharing
eu-west-3        block-new-sharing
…
Tools for PowerShell
啟用或修改快照的封鎖公開存取設定

使用 Enable-EC2SnapshotBlockPublicAccess 命令。為 -State 指定下列其中一個值:

  • block-all-sharing:封鎖快照的所有公開共用。帳戶使用者無法請求新的公開共用。此外,已公開共用的快照會被視為私有快照,不再開放公開使用。

  • block-new-sharing:僅封鎖快照的新公開共用。帳戶使用者無法請求新的公開共用。但是已公開共用的快照仍會維持開放公開使用。

針對特定區域啟用或修改快照的封鎖公開存取

Enable-EC2SnapshotBlockPublicAccess `
-Region us-east-1 `
-State block-new-sharing | block-all-sharing

範例輸出

Value
-----
block-new-sharing

啟用或修改所有區域的快照封鎖公開存取

(Get-EC2Region -Region us-east-1).RegionName | `
    ForEach-Object {
    [PSCustomObject]@{
        Region            = $_
        PublicAccessState = (
            Enable-EC2SnapshotBlockPublicAccess `
                -Region $_ `
                -State block-new-sharing | block-all-sharing)
    }
} | `
Format-Table -AutoSize

範例輸出

Region         PublicAccessState
------         -----------------
ap-south-1     block-new-sharing
eu-north-1     block-new-sharing
eu-west-3      block-new-sharing
...