Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controle el acceso al APIs uso EBS directo IAM
Un usuario debe tener las siguientes políticas para usar el EBS directoAPIs. Para obtener más información, consulte Cambio de los permisos de un usuario de IAM.
Para obtener más información sobre los APIs recursos EBS directos, las acciones y las claves de contexto de condición que se utilizan en las políticas de IAM permisos, consulte Acciones, recursos y claves de condición de Amazon Elastic Block Store en la Referencia de autorización de servicios.
importante
Tenga cuidado al asignar las siguientes políticas a los usuarios de . Al asignar estas políticas, puedes dar acceso a un usuario al que se le niegue el acceso al mismo recurso a través de Amazon EC2APIs, como las CreateVolume acciones CopySnapshot o.
La siguiente política permite utilizar la lectura EBS directa APIs en todas las instantáneas de una región específica AWS . En la política, <Region> sustitúyala por la región de la instantánea.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:<Region>::snapshot/*" } ] }
La siguiente política permite utilizar la lectura EBS directa APIs en instantáneas con una etiqueta clave-valor específica. En la política, <Key> sustitúyala por el valor clave de la etiqueta y <Value> por el valor de la etiqueta.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/<Key>": "<Value>" } } } ] }
La siguiente política permite que toda la lectura EBS directa APIs se utilice en todas las instantáneas de la cuenta solo dentro de un intervalo de tiempo específico. Esta política autoriza el uso de la línea EBS directa en APIs función de la clave de condición aws:CurrentTime global. En la política, asegúrese de reemplazar el intervalo de fecha y hora mostrado por el intervalo de fecha y hora de la política.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2018-05-29T00:00:00Z" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z" } } } ] }
Para obtener más información, consulte Cambiar los permisos de un usuario en la Guía del IAM usuario.
La siguiente política permite utilizar la escritura EBS directa APIs en todas las instantáneas de una AWS región específica. En la política, <Region> sustitúyala por la región de la instantánea.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:<Region>::snapshot/*" } ] }
La siguiente política permite utilizar la escritura EBS directa APIs en instantáneas con una etiqueta clave-valor específica. En la política, <Key> sustitúyala por el valor clave de la etiqueta y <Value> por el valor de la etiqueta.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/<Key>": "<Value>" } } } ] }
La siguiente política permite utilizar todo APIs lo EBS directo. También permite la acción StartSnapshot solo si se especifica un ID de instantánea principal. Por lo tanto, esta política bloquea la capacidad de iniciar nuevas instantáneas sin utilizar una instantánea principal.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "StringEquals": { "ebs:ParentSnapshot": "arn:aws:ec2:*::snapshot/*" } } } ] }
La siguiente política permite utilizar todos APIs los EBS directos. También permite que solo se cree la clave de etiqueta de user para una nueva instantánea. Esta política también garantiza que el usuario tenga acceso para crear etiquetas. La acción StartSnapshot es la única acción que puede especificar etiquetas.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": "user" } } }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "*" } ] }
La siguiente política permite que toda la escritura EBS directa APIs se utilice en todas las instantáneas de la cuenta solo dentro de un intervalo de tiempo específico. Esta política autoriza el uso de la APIs función EBS directa en función de la clave de condición aws:CurrentTime global. En la política, asegúrese de reemplazar el intervalo de fecha y hora mostrado por el intervalo de fecha y hora de la política.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2018-05-29T00:00:00Z" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z" } } } ] }
Para obtener más información, consulte Cambiar los permisos de un usuario en la Guía del IAM usuario.
La siguiente política concede permiso para descifrar una instantánea cifrada mediante una KMS clave específica. También concede permiso para cifrar nuevas instantáneas mediante la KMS clave de cifrado predeterminada. EBS En la política, <Region> sustitúyala por la región de la KMS clave, <AccountId> por el ID de la AWS cuenta de la KMS clave y <KeyId> por el ID de la KMS clave.
nota
De forma predeterminada, todos los responsables de la cuenta tienen acceso a la KMS clave AWS gestionada predeterminada para el EBS cifrado de Amazon y pueden utilizarla para las operaciones de EBS cifrado y descifrado. Si utiliza una clave gestionada por el cliente, debe crear una política de claves nueva o modificar la política de clave existente para la clave gestionada por el cliente para conceder acceso a la entidad principal a la clave gestionada por el cliente. Para obtener más información, consulte Políticas de claves en AWS KMS en la Guía para desarrolladores de AWS Key Management Service .
sugerencia
Para seguir el principio de privilegios mínimos, no permita el acceso completo a kms:CreateGrant. En su lugar, utilice la clave kms:GrantIsForAWSResource condicionada para permitir al usuario crear concesiones en la KMS clave únicamente cuando un AWS servicio cree la concesión en nombre del usuario, como se muestra en el siguiente ejemplo.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:ReEncrypt*", "kms:CreateGrant", "ec2:CreateTags", "kms:DescribeKey" ], "Resource": "arn:aws:kms:<Region>:<AccountId>:key/<KeyId>", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
Para obtener más información, consulte Cambiar los permisos de un usuario en la Guía del IAM usuario.
