本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
IAMEBS直接權限 APIs
使用者必須具有下列原則才能使用EBS直接APIs。如需詳細資訊,請參閱變更使用者的許可。
如需在權IAM限政策中使用的EBS直接APIs資源、動作和條件內容金鑰的詳細資訊,請參閱服務授權參考中適用於 Amazon Elastic Block Store 的動作、資源和條件金鑰。
重要
將下列原則指派給使用者時,請務必小心。透過指派這些政策,您可能會授予拒絕透過 Amazon 存取相同資源的使用者存取權 EC2APIs,例如 CopySnapshot 或 CreateVolume 動作。
下列原則允許在特定 AWS 區域中的所有快照上使用EBS直接APIs讀取。在原則中,取代 <Region> 與快照的區域。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:<Region>::snapshot/*" } ] }
下列原則允許在具有特定索引鍵值標籤的快照上使用EBS直接APIs讀取。在原則中,取代 <Key> 與標籤的鍵值,以及 <Value> 與標籤的值。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/<Key>": "<Value>" } } } ] }
下列原則只允許在特定時間範圍內的帳戶中的所有快照上使用所有EBS直接APIs讀取。此原則會APIs根據aws:CurrentTime全域條件金鑰授權使用 EBS Direct。在政策中,請務必將顯示的日期和時間範圍取代為政策的日期和時間範圍。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2018-05-29T00:00:00Z" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z" } } } ] }
如需詳細資訊,請參閱《使用指南》中的〈變更使用IAM者的權限〉。
下列原則允許在特定 AWS 區域中的所有快照上使用EBS直接APIs寫入。在原則中,取代 <Region> 與快照的區域。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:<Region>::snapshot/*" } ] }
下列原則允許在具有特定索引鍵值標籤的快照上使用EBS直接APIs寫入。在原則中,取代 <Key> 與標籤的鍵值,以及 <Value> 與標籤的值。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/<Key>": "<Value>" } } } ] }
以下策略允許使用所有EBS直APIs接。它也允許只有在指定父系快照 ID 時才可執行 StartSnapshot 動作。因此,此政策會封鎖啟動新快照而不使用父系快照的能力。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "StringEquals": { "ebs:ParentSnapshot": "arn:aws:ec2:*::snapshot/*" } } } ] }
以下策略允許使用所有EBS直APIs接。它也允許僅為新的快照建立 user 標籤金鑰。此政策也可確保使用者擁有建立標籤的存取權。StartSnapshot 動作是唯一可以指定標籤的動作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": "user" } } }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "*" } ] }
下列原則只允許在特定時間範圍內在帳戶中的所有快照上使用所有EBS直接APIs寫入。此原則會APIs根據aws:CurrentTime全域條件金鑰授權使用 EBS Direct。在政策中,請務必將顯示的日期和時間範圍取代為政策的日期和時間範圍。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2018-05-29T00:00:00Z" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z" } } } ] }
如需詳細資訊,請參閱《使用指南》中的〈變更使用IAM者的權限〉。
下列原則授與使用特定KMS金鑰解密加密快照的權限。它也會授與使用預設KMS金鑰加密新快照的權限以進行EBS加密。在原則中,取代 <Region> 與關KMS鍵的區域,<AccountId> 與KMS密鑰的 AWS 帳戶的 ID,和 <KeyId> 與KMS密鑰的 ID。
注意
根據預設,帳戶中的所有主體都可以存取 Amazon EBS 加密的預設 AWS 受管KMS金鑰,並且可以將其用於EBS加密和解密作業。若您使用客戶受管金鑰,則必須為客戶受管金鑰建立新金鑰政策或修改現有金鑰政策,以授予主體對客戶受管金鑰的存取權限。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的在 AWS KMS中使用金鑰政策。
提示
若要遵循最低權限原則人,請勿允許 kms:CreateGrant 的完整存取。相反地,只有在 AWS 服務以使用者代表使用者建立授權時,才允許使用者在KMS金鑰上建立授權,如下列範例所示。kms:GrantIsForAWSResource
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:ReEncrypt*", "kms:CreateGrant", "ec2:CreateTags", "kms:DescribeKey" ], "Resource": "arn:aws:kms:<Region>:<AccountId>:key/<KeyId>", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
如需詳細資訊,請參閱《使用指南》中的〈變更使用IAM者的權限〉。
