Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôlez l'accès à EBS direct à APIs l'aide d'IAM
Un utilisateur doit disposer des politiques suivantes pour utiliser l'EBS direct APIs. Pour plus d’informations, consultez Modification des autorisations d’un utilisateur.
Pour plus d'informations sur les APIs ressources directes, les actions et les clés contextuelles de condition EBS à utiliser dans les politiques d'autorisation IAM, consultez la section Actions, ressources et clés de condition pour Amazon Elastic Block Store dans le Service Authorization Reference.
Important
Soyez prudent lorsque vous affectez les stratégies suivantes aux utilisateurs . En attribuant ces politiques, vous pouvez donner accès à un utilisateur qui se voit refuser l'accès à la même ressource par le biais d'Amazon EC2 APIs, par exemple aux CreateVolume actions CopySnapshot or.
La politique suivante permet d'utiliser la lecture directe APIs EBS sur tous les instantanés d'une région spécifique AWS . Dans la politique, remplacez <Region> par la région de l'instantané.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:<Region>::snapshot/*" } ] }
La politique suivante permet d'utiliser la lecture directe EBS sur APIs les instantanés dotés d'une balise clé-valeur spécifique. Dans la politique, remplacez <Key> par la valeur clé de la balise et <Value> par la valeur de la balise.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/<Key>": "<Value>" } } } ] }
La politique suivante permet d'utiliser l'intégralité de la lecture directe APIs EBS sur tous les instantanés du compte uniquement dans un intervalle de temps spécifique. Cette politique autorise l'utilisation de l'EBS direct sur la APIs base de la clé de condition aws:CurrentTime globale. Dans la politique, veillez à remplacer la plage de dates et d’heures affichée par la plage de dates et d’heures de votre politique.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2018-05-29T00:00:00Z" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z" } } } ] }
Pour plus d’informations, consultez Modification des autorisations d’un utilisateur dans le Guide de l’utilisateur IAM.
La politique suivante permet d'utiliser l'écriture directe APIs EBS sur tous les instantanés d'une région spécifique AWS . Dans la politique, remplacez <Region> par la région de l'instantané.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:<Region>::snapshot/*" } ] }
La politique suivante permet d'utiliser l'écriture directe EBS sur APIs les instantanés dotés d'une balise clé-valeur spécifique. Dans la politique, remplacez <Key> par la valeur clé de la balise et <Value> par la valeur de la balise.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/<Key>": "<Value>" } } } ] }
La politique suivante autorise l'utilisation de tous les EBS Direct APIs . Elle n’autorise également l’action StartSnapshot que si un ID d’instantané parent est spécifié. Par conséquent, cette politique bloque la possibilité de démarrer de nouveaux instantanés sans utiliser un instantané parent.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "StringEquals": { "ebs:ParentSnapshot": "arn:aws:ec2:*::snapshot/*" } } } ] }
La politique suivante autorise l'utilisation de tous les EBS Direct APIs . Il permet également de créer uniquement la clé de balise user pour un nouvel instantané. Cette politique garantit également que l’utilisateur dispose de l’accès approprié pour créer des balises. L’action StartSnapshot est la seule action qui peut spécifier des balises.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": "user" } } }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "*" } ] }
La politique suivante permet d'utiliser l'intégralité de l'écriture directe APIs EBS sur tous les instantanés du compte uniquement dans un intervalle de temps spécifique. Cette politique autorise l'utilisation de l'EBS direct sur la APIs base de la clé de condition aws:CurrentTime globale. Dans la politique, veillez à remplacer la plage de dates et d’heures affichée par la plage de dates et d’heures de votre politique.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2018-05-29T00:00:00Z" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z" } } } ] }
Pour plus d’informations, consultez Modification des autorisations d’un utilisateur dans le Guide de l’utilisateur IAM.
La politique suivante accorde les autorisations permettant de déchiffrer un instantané chiffré à l’aide d’une clé KMS spécifique. Elle permet également de chiffrer de nouveaux instantanés à l’aide de la clé KMS par défaut pour le chiffrement EBS. Dans la politique, remplacez <Region> par la région de la clé KMS, <AccountId> par l'ID du AWS compte associé à la clé KMS et <KeyId> par l'ID de la clé KMS.
Note
Par défaut, tous les principaux du compte ont accès à la clé KMS AWS gérée par défaut pour le chiffrement Amazon EBS, et ils peuvent l'utiliser pour les opérations de chiffrement et de déchiffrement EBS. Si vous utilisez une clé gérée par le client, vous devez créer une nouvelle politique de clé ou modifier la politique de clé existante pour la clé gérée par le client afin d’accorder au principal l’accès à la clé gérée par le client. Pour plus d’informations, consultez Politiques de clé dans AWS KMS dans le Guide du développeur AWS Key Management Service .
Astuce
Pour suivre le principe du moindre privilège, n’autorisez pas l’accès complet à kms:CreateGrant. Utilisez plutôt la clé de kms:GrantIsForAWSResource condition pour autoriser l'utilisateur à créer des autorisations sur la clé KMS uniquement lorsque l'autorisation est créée en son nom par un AWS service, comme indiqué dans l'exemple suivant.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:ReEncrypt*", "kms:CreateGrant", "ec2:CreateTags", "kms:DescribeKey" ], "Resource": "arn:aws:kms:<Region>:<AccountId>:key/<KeyId>", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
Pour plus d’informations, consultez Modification des autorisations d’un utilisateur dans le Guide de l’utilisateur IAM.
