本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
所需的 IAM 許可
依預設,使用者沒有使用快照封存的許可。若要允許使用者使用快照封存,必須建立 IAM 政策,其會授予使用特定資源和 API 動作的許可。如需詳細資訊,請參閱《IAM 使用者指南》中的建立 IAM 政策。
若要使用快照封存,使用者需要下列許可。
-
ec2:DescribeSnapshotTierStatus -
ec2:ModifySnapshotTier -
ec2:RestoreSnapshotTier
主控台使用者可能需要其他許可,例如 ec2:DescribeSnapshots。
若要封存和還原加密的快照,需要下列其他 AWS KMS 權限。
-
kms:CreateGrant -
kms:Decrypt -
kms:DescribeKey
以下是向 IAM 使用者授予許可以封存、還原和檢視加密和未加密快照許可的 IAM 政策範例。其包括主控台使用者的 ec2:DescribeSnapshots 許可權限。若無需某些許可,則您可從政策中將其移除。
提示
若要遵循最低權限原則人,請勿允許 kms:CreateGrant 的完整存取。相反地,只有在 AWS 服務代表使用者建立授權時,才允許使用者在 KMS 金鑰上建立授權,如下列範例所示。kms:GrantIsForAWSResource
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeSnapshotTierStatus", "ec2:ModifySnapshotTier", "ec2:RestoreSnapshotTier", "ec2:DescribeSnapshots", "kms:CreateGrant", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } }] }
若要提供存取權,請新增權限至您的使用者、群組或角色:
-
使用者和群組位於 AWS IAM Identity Center:
建立權限合集。請遵循《AWS IAM Identity Center 使用者指南》的建立許可集合中的指示。
-
透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。請遵循《IAM 使用者指南》的為第三方身分提供者 (聯合) 建立角色中的指示。
-
IAM 使用者:
-
建立您的使用者可擔任的角色。請遵循《IAM 使用者指南》的為 IAM 使用者建立角色中的指示。
-
(不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循 IAM 使用者指南 的 新增權限至使用者 (主控台) 中的指示。
-
