Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlla l'accesso all'APIsutilizzo EBS diretto IAM
Un utente deve disporre delle seguenti politiche per utilizzare il EBS directAPIs. Per ulteriori informazioni, consulta Modifica delle autorizzazioni per un utente.
Per ulteriori informazioni sulle APIs risorse EBS dirette, le azioni e le chiavi di contesto delle condizioni da utilizzare nelle politiche di IAM autorizzazione, consulta Azioni, risorse e chiavi di condizione per Amazon Elastic Block Store nel Service Authorization Reference.
Importante
Presta attenzione quando assegni le seguenti policy agli utenti . Assegnando queste politiche, potresti consentire l'accesso a un utente a cui viene negato l'accesso alla stessa risorsa tramite Amazon EC2APIs, come le CreateVolume azioni CopySnapshot o.
La seguente politica consente di utilizzare la lettura EBS diretta APIs su tutte le istantanee in una regione specifica AWS . Nella politica, sostituisci <Region>
con la Regione dell'istantanea.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:
<Region>
::snapshot/*" } ] }
La seguente politica consente di utilizzare la lettura EBS diretta APIs su istantanee con un tag chiave-valore specifico. Nella policy, <Key>
sostituiscilo con il valore chiave del tag e <Value>
con il valore del tag.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/
<Key>
": "<Value>
" } } } ] }
La seguente politica consente di utilizzare tutta la lettura EBS diretta APIs su tutte le istantanee dell'account solo entro un intervallo di tempo specifico. Questa politica autorizza l'uso del comando EBS diretto APIs in base alla chiave di condizione aws:CurrentTime
globale. Nella policy, sostituisci l'intervallo di data e ora visualizzato con l'intervallo di data e ora per la policy.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "
2018-05-29T00:00:00Z
" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z
" } } } ] }
Per ulteriori informazioni, consulta Modifica delle autorizzazioni per un utente nella Guida per l'IAMutente.
La seguente politica consente di utilizzare la scrittura EBS diretta APIs su tutte le istantanee in una regione specifica AWS . Nella politica, sostituisci <Region>
con la Regione dell'istantanea.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:
<Region>
::snapshot/*" } ] }
La seguente politica consente di utilizzare la scrittura EBS diretta APIs su istantanee con un tag chiave-valore specifico. Nella policy, <Key>
sostituiscilo con il valore chiave del tag e <Value>
con il valore del tag.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/
<Key>
": "<Value>
" } } } ] }
La seguente politica consente di utilizzare tutti APIs i dati EBS diretti. Consente inoltre l'operazione StartSnapshot
solo se viene specificato un ID snapshot padre. Pertanto, questa policy blocca la possibilità di avviare nuovi snapshot se non si specifica uno snapshot padre.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "StringEquals": { "ebs:ParentSnapshot": "arn:aws:ec2:*::snapshot/*" } } } ] }
La seguente politica consente di utilizzare tutte APIs le EBS dirette. Consente inoltre di creare la chiave di tag user
per un nuovo snapshot. Questa policy garantisce inoltre che l'utente abbia accesso alla creazione di tag. L'operazione StartSnapshot
è l'unica in grado di specificare i tag.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ebs:*", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": "user" } } }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "*" } ] }
La seguente politica consente di utilizzare tutte le EBS dirette APIs di scrittura su tutte le istantanee dell'account solo entro un intervallo di tempo specifico. Questa politica autorizza l'uso del comando EBS diretto APIs in base alla chiave di condizione aws:CurrentTime
globale. Nella policy, sostituisci l'intervallo di data e ora visualizzato con l'intervallo di data e ora per la policy.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ebs:StartSnapshot", "ebs:PutSnapshotBlock", "ebs:CompleteSnapshot" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "
2018-05-29T00:00:00Z
" }, "DateLessThan": { "aws:CurrentTime": "2020-05-29T23:59:59Z
" } } } ] }
Per ulteriori informazioni, consulta Modifica delle autorizzazioni per un utente nella Guida per l'IAMutente.
La seguente politica concede l'autorizzazione a decrittografare un'istantanea crittografata utilizzando una chiave specifica. KMS Concede inoltre l'autorizzazione a crittografare nuove istantanee utilizzando la chiave di crittografia predefinita. KMS EBS Nella policy, <Region>
sostituiscila con la regione della KMS chiave, <AccountId>
con l'ID dell' AWS account della KMS chiave e <KeyId>
con l'ID della chiave. KMS
Nota
Per impostazione predefinita, tutti i responsabili dell'account hanno accesso alla KMS chiave AWS gestita predefinita per la EBS crittografia Amazon e possono utilizzarla per operazioni di EBS crittografia e decrittografia. Se usi una chiave gestita dal cliente, devi creare una nuova policy della chiave o modificare la politica della chiave esistente per la chiave gestita dal cliente, per consentire all'entità principale di accedervi. Per ulteriori informazioni, consulta Policy delle chiavi in AWS KMS nella Guida per gli sviluppatori di AWS Key Management Service .
Suggerimento
Per seguire il principio del privilegio minimo, non consentire l'accesso completo a kms:CreateGrant
. Utilizza invece la chiave kms:GrantIsForAWSResource
condition per consentire all'utente di creare sovvenzioni sulla KMS chiave solo quando la concessione viene creata per conto dell'utente da un AWS servizio, come mostrato nell'esempio seguente.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:ReEncrypt*", "kms:CreateGrant", "ec2:CreateTags", "kms:DescribeKey" ], "Resource": "arn:aws:kms:
<Region>
:<AccountId>
:key/<KeyId>
", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
Per ulteriori informazioni, consulta Modifica delle autorizzazioni per un utente nella Guida per l'IAMutente.