Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Beispiel für IAM-Richtlinien für Amazon EBS
Standardmäßig sind Benutzer und Rollen nicht berechtigt, Amazon EBS-Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mithilfe der AWS-Managementkonsole, AWS Command Line Interface (AWS CLI) oder AWS API ausführen. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen. Der Administrator kann dann die IAM-Richtlinien zu Rollen hinzufügen, und Benutzer können die Rollen annehmen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Benutzern erlauben, die Amazon EBS-Konsole zu verwenden](#security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Erlauben Sie Benutzern, mit Volumes zu arbeiten](#iam-example-manage-volumes)
+ [Erlauben Sie Benutzern, mit Snapshots zu arbeiten](#iam-example-manage-snapshots)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand Amazon EBS-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder diese löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Benutzern erlauben, die Amazon EBS-Konsole zu verwenden
Um auf die Amazon Elastic Block Store-Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den Amazon EBS-Ressourcen in Ihrem AWS-Konto aufzulisten und anzuzeigen. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.
Um sicherzustellen, dass Benutzer und Rollen die Amazon EBS-Konsole weiterhin verwenden können, fügen Sie den Entitäten auch die Amazon EBS `{{ConsoleAccess}}` - oder `{{ReadOnly}}` AWS verwaltete Richtlinie hinzu. Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen zu einem Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie beinhaltet Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API oder. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Erlauben Sie Benutzern, mit Volumes zu arbeiten
**Topics**
+ [Beispiel: Anhängen und Trennen von Volumes](#iam-example-manage-volumes-attach-detach)
+ [Beispiel: Erstellen eines Volumes](#iam-example-manage-volumes-create)
+ [Beispiel: Erstellen eines Volumes mit Tags (Markierungen)](#iam-example-manage-volumes-tags)
+ [Beispiel: Arbeiten Sie mit Volumes mithilfe der Amazon EC2 EC2-Konsole](#ex-volumes)
### Beispiel: Anhängen und Trennen von Volumes
Wenn ein Aufrufer mehrere Ressourcen für eine API-Aktion angeben muss, erstellen Sie eine Richtlinienanweisung, die den Benutzern den Zugriff auf alle erforderlichen Ressourcen ermöglicht. Falls ein `Condition`-Element mit einem oder mehreren dieser Ressourcen erforderlich ist, müssen Sie mehrere Anweisungen erstellen, wie in diesem Beispiel gezeigt.
Die folgende Richtlinie ermöglicht es Benutzern, Volumes mit dem Tag "`volume_user`= *iam-user-name*" an Instances mit dem Tag "`department=dev`" anzuhängen und diese Volumes von diesen Instances zu trennen. Wenn Sie einer IAM-Gruppe diese Richtlinie anfügen, erteilt die `aws:username`-Richtlinienvariable jedem IAM-Benutzer in der Gruppe die Berechtigung zum Anfügen bzw. Trennen von Volumes von Instances, die ein Tag mit dem Namen `volume_user` haben, das den entsprechenden IAM-Benutzernamen als Wert aufweist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": "arn:aws:ec2:us-east-1:{{111122223333}}:instance/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/department": "dev"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": "arn:aws:ec2:us-east-1:{{111122223333}}:volume/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/volume_user": "${aws:username}"
}
}
}
]
}
```
------
### Beispiel: Erstellen eines Volumes
Die folgende Richtlinie ermöglicht es Benutzern, die [CreateVolume](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVolume.html)API-Aktion zu verwenden. Die Benutzer dürfen nur ein Volume erstellen, wenn das Volume verschlüsselt und nicht größer als 20 GiB ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateVolume"
],
"Resource": "arn:aws:ec2:us-east-1:{{111122223333}}:volume/*",
"Condition": {
"NumericLessThan": {
"ec2:VolumeSize": "20"
},
"Bool": {
"ec2:Encrypted": "true"
}
}
}
]
}
```
------
### Beispiel: Erstellen eines Volumes mit Tags (Markierungen)
Die folgende Richtlinie umfasst den `aws:RequestTag`-Bedingungsschlüssel. Die Benutzer müssen daher alle Volumes, die sie erstellen, mit den Tags `costcenter=115` und `stack=prod` versehen. Werden nicht genau diese Tags (Markierungen) übergeben oder überhaupt keine Tags (Markierungen) angegeben, schlägt die Anforderung fehl.
Bei Aktionen zur Ressourcenerstellung, die Tags anwenden, müssen die Benutzer zudem über Berechtigungen für die Aktion `CreateTags` verfügen. Die zweite Anweisung enthält den `ec2:CreateAction`-Bedingungsschlüssel, sodass die Benutzer Tags nur im Kontext von `CreateVolume` erstellen können. Die Benutzer können keine vorhandenen Volumes oder andere Ressourcen markieren.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateTaggedVolumes",
"Effect": "Allow",
"Action": "ec2:CreateVolume",
"Resource": "arn:aws:ec2:us-east-1:{{111122223333}}:volume/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/costcenter": "115",
"aws:RequestTag/stack": "prod"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:us-east-1:{{111122223333}}:volume/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateVolume"
}
}
}
]
}
```
------
Die folgende Richtline erlaubt den Benutzern die Erstellung eines Volumes, ohne Tags (Markierungen) angeben zu müssen. Die `CreateTags`-Aktion wird nur ausgewertet, wenn Tags in der `CreateVolume`-Anforderung festgelegt werden. Wenn Benutzer Tags (Markierungen) hinzufügen, muss das Tag (Markierungen) `purpose=test` sein. Andere Tags (Markierungen) sind in der Anforderung nicht zulässig.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateVolume",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:us-east-1:{{111122223333}}:volume/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/purpose": "test",
"ec2:CreateAction": "CreateVolume"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "purpose"
}
}
}
]
}
```
------
### Beispiel: Arbeiten Sie mit Volumes mithilfe der Amazon EC2 EC2-Konsole
Die folgende Richtlinie gewährt Benutzern die Erlaubnis, Volumes über die Amazon EC2 EC2-Konsole anzuzeigen und zu erstellen sowie Volumes an bestimmte Instances anzuhängen und zu trennen.
Die Benutzer können Instances, die über den `purpose=test`-Tag (Markierung) verfügen, beliebige Volumes anfügen und außerdem Volumes von diesen Instances trennen. Zum Anfügen eines Volumes mithilfe der Amazon EC2-Konsole ist es praktisch, Benutzern die Berechtigung zum Verwenden der `ec2:DescribeInstances`-Aktion zu gewähren, damit sie eine Instance aus einer vorausgefüllten Liste im Dialogfeld **Attach Volume** auswählen können. Allerdings dürfen die Benutzer dadurch außerdem alle Instances auf der Seite **Instances** in der Konsole ansehen. Sie können diese Aktion daher auch auslassen.
In der ersten Anweisung ist die Aktion `ec2:DescribeAvailabilityZones` erforderlich, damit ein Benutzer eine Availability Zone auswählen kann, wenn er ein Volume erstellt.
Benutzer können die von ihnen erstellten Volumes nicht mit Tags (Markierungen) versehen (entweder während oder nach der Erstellung eines Volumes).
## Erlauben Sie Benutzern, mit Snapshots zu arbeiten
Im Folgenden finden Sie Beispielrichtlinien sowohl für `CreateSnapshot` (point-in-timeSnapshot eines EBS-Volumes) als auch für `CreateSnapshots` (Snapshots mit mehreren Volumes).
**Topics**
+ [Beispiel: Erstellen eines Snapshots](#iam-creating-snapshot)
+ [Beispiel: Erstellen von Snapshots](#iam-creating-snapshots)
+ [Beispiel: Erstellen eines Snapshots mit Tags (Markierungen)](#iam-creating-snapshot-with-tags)
+ [Beispiel: Erstellen von Multi-Volume-Snapshots mit Tags](#iam-creating-snapshots-with-tags)
+ [Beispiel: Snapshots kopieren](#iam-copy-snapshot)
+ [Beispiel: Ändern der Berechtigungseinstellungen für Snapshots](#iam-modifying-snapshot-with-tags)
### Beispiel: Erstellen eines Snapshots
Die folgende Richtlinie ermöglicht es Kunden, die API-Aktion zu verwenden. [CreateSnapshot](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSnapshot.html) Die Kunden können nur dann Snapshots erstellen, wenn das Volume verschlüsselt und nicht größer als 20 GiB ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateSnapshot",
"Resource": "arn:aws:ec2:us-east-1::snapshot/*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateSnapshot",
"Resource": "arn:aws:ec2:us-east-1:{{111122223333}}:volume/*",
"Condition": {
"NumericLessThan": {
"ec2:VolumeSize": "20"
},
"Bool": {
"ec2:Encrypted": "true"
}
}
}
]
}
```
------
### Beispiel: Erstellen von Snapshots
Die folgende Richtlinie ermöglicht es Kunden, die [CreateSnapshots](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSnapshots.html)API-Aktion zu verwenden. Der Kunde kann nur dann Snapshots erstellen, wenn alle Volumes auf der Instance vom Typ GP2 sind.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":"ec2:CreateSnapshots",
"Resource":[
"arn:aws:ec2:us-east-1::snapshot/*",
"arn:aws:ec2:*:*:instance/*"
]
},
{
"Effect":"Allow",
"Action":"ec2:CreateSnapshots",
"Resource":"arn:aws:ec2:us-east-1:*:volume/*",
"Condition":{
"StringLikeIfExists":{
"ec2:VolumeType":"gp2"
}
}
}
]
}
```
------
### Beispiel: Erstellen eines Snapshots mit Tags (Markierungen)
Die folgende Richtlinie umfasst den `aws:RequestTag`-Bedingungsschlüssel. Er fordert, dass die Kunden die Tags `costcenter=115` und `stack=prod` auf jeden neuen Snapshot anwenden. Werden nicht genau diese Tags (Markierungen) übergeben oder überhaupt keine Tags (Markierungen) angegeben, schlägt die Anforderung fehl.
Bei Aktionen zur Ressourcenerstellung, die Tags anwenden, müssen die Kunden zudem über die Berechtigungen für die `CreateTags`-Aktion verfügen. Die dritte Anweisung enthält den `ec2:CreateAction`-Bedingungsschlüssel, sodass die Kunden Tags nur im Kontext von `CreateSnapshot` erstellen können. Kunden können keine vorhandenen Volumes oder andere Ressourcen markieren.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateSnapshot",
"Resource": "arn:aws:ec2:us-east-1:{{111122223333}}:volume/*"
},
{
"Sid": "AllowCreateTaggedSnapshots",
"Effect": "Allow",
"Action": "ec2:CreateSnapshot",
"Resource": "arn:aws:ec2:us-east-1::snapshot/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/costcenter": "115",
"aws:RequestTag/stack": "prod"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:us-east-1::snapshot/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateSnapshot"
}
}
}
]
}
```
------
### Beispiel: Erstellen von Multi-Volume-Snapshots mit Tags
Die folgende Richtlinie enthält den Bedingungsschlüssel `aws:RequestTag`, der verlangt, dass der Kunde die Tags `costcenter=115` und `stack=prod` anwendet, wenn er ein Multi-Volume-Snapshot-Satz erstellt. Werden nicht genau diese Tags (Markierungen) übergeben oder überhaupt keine Tags (Markierungen) angegeben, schlägt die Anforderung fehl.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":"ec2:CreateSnapshots",
"Resource":[
"arn:aws:ec2:us-east-1::snapshot/*",
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*"
]
},
{
"Sid":"AllowCreateTaggedSnapshots",
"Effect":"Allow",
"Action":"ec2:CreateSnapshots",
"Resource":"arn:aws:ec2:us-east-1::snapshot/*",
"Condition":{
"StringEquals":{
"aws:RequestTag/costcenter":"115",
"aws:RequestTag/stack":"prod"
}
}
},
{
"Effect":"Allow",
"Action":"ec2:CreateTags",
"Resource":"arn:aws:ec2:us-east-1::snapshot/*",
"Condition":{
"StringEquals":{
"ec2:CreateAction":"CreateSnapshots"
}
}
}
]
}
```
------
Die folgende Richtlinie erlaubt den Kunden die Erstellung eines Snapshots, ohne Tags (Markierungen) angeben zu müssen. Die `CreateTags`-Aktion wird nur ausgewertet, wenn Tags in der `CreateSnapshot`- oder `CreateSnapshots`-Anforderung angegeben werden. In der Anforderung können Tags weggelassen werden. Wenn ein Tags (Markierungen) angegeben ist, muss das Tag (Markierungen) `purpose=test` sein. Andere Tags (Markierungen) sind in der Anforderung nicht zulässig.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":"ec2:CreateSnapshot",
"Resource":"*"
},
{
"Effect":"Allow",
"Action":"ec2:CreateTags",
"Resource":"arn:aws:ec2:us-east-1::snapshot/*",
"Condition":{
"StringEquals":{
"aws:RequestTag/purpose":"test",
"ec2:CreateAction":"CreateSnapshot"
},
"ForAllValues:StringEquals":{
"aws:TagKeys":"purpose"
}
}
}
]
}
```
------
Die folgende Richtlinie ermöglicht es Kunden, Multi-Volume-Snapshot-Sätze zu erstellen, ohne Tags angeben zu müssen. Die `CreateTags`-Aktion wird nur ausgewertet, wenn Tags in der `CreateSnapshot`- oder `CreateSnapshots`-Anforderung angegeben werden. In der Anforderung können Tags weggelassen werden. Wenn ein Tags (Markierungen) angegeben ist, muss das Tag (Markierungen) `purpose=test` sein. Andere Tags (Markierungen) sind in der Anforderung nicht zulässig.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":"ec2:CreateSnapshots",
"Resource":"*"
},
{
"Effect":"Allow",
"Action":"ec2:CreateTags",
"Resource":"arn:aws:ec2:us-east-1::snapshot/*",
"Condition":{
"StringEquals":{
"aws:RequestTag/purpose":"test",
"ec2:CreateAction":"CreateSnapshots"
},
"ForAllValues:StringEquals":{
"aws:TagKeys":"purpose"
}
}
}
]
}
```
------
Die folgende Richtlinie erlaubt nur dann, einen Snapshot zu erstellen, wenn das Quell-Volume das Tag (Markierungen) `User:username` für den Kunden hat, und wenn der eigentliche Snapshot mit den Tags (Markierungen) `Environment:Dev` und `User:username` gekennzeichnet ist. Der Kunde kann dem Snapshot weitere Tags (Markierungen) hinzufügen.
Die folgende Richtlinie für `CreateSnapshots` erlaubt nur dann, Snapshots zu erstellen, wenn das Quell-Volume mit `User:username` für den Kunden markiert ist und der eigentliche Snapshot mit `Environment:Dev` und `User:username` markiert ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateSnapshots",
"Resource": "arn:aws:ec2:us-east-1:*:instance/*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateSnapshots",
"Resource": "arn:aws:ec2:us-east-1:{{111122223333}}:volume/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/User": "${aws:username}"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateSnapshots",
"Resource": "arn:aws:ec2:us-east-1::snapshot/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Environment": "Dev",
"aws:RequestTag/User": "${aws:username}"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:us-east-1::snapshot/*"
}
]
}
```
------
Die folgende Richtlinie erlaubt nur dann, einen Snapshot zu löschen, wenn der Snapshot mit User:*Benutzername* für den Kunden markiert ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":"ec2:DeleteSnapshot",
"Resource":"arn:aws:ec2:us-east-1::snapshot/*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/User":"${aws:username}"
}
}
}
]
}
```
------
Die folgende Richtlinie erlaubt einem Kunden, einen Snapshot zu erstellen, weist die Aktion jedoch ab, wenn der zu erstellende Snapshot den Tag (Markierung)-Schlüssel `value=stack` hat.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":[
"ec2:CreateSnapshot",
"ec2:CreateTags"
],
"Resource":"*"
},
{
"Effect":"Deny",
"Action":"ec2:CreateSnapshot",
"Resource":"arn:aws:ec2:us-east-1::snapshot/*",
"Condition":{
"ForAnyValue:StringEquals":{
"aws:TagKeys":"stack"
}
}
}
]
}
```
------
Die folgende Richtlinie erlaubt einem Kunden, Snapshots zu erstellen, weist die Aktion jedoch ab, wenn die zu erstellenden Snapshots den Tag (Markierung)-Schlüssel `value=stack` haben.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":[
"ec2:CreateSnapshots",
"ec2:CreateTags"
],
"Resource":"*"
},
{
"Effect":"Deny",
"Action":"ec2:CreateSnapshots",
"Resource":"arn:aws:ec2:us-east-1::snapshot/*",
"Condition":{
"ForAnyValue:StringEquals":{
"aws:TagKeys":"stack"
}
}
}
]
}
```
------
Die folgende Richtlinie erlaubt es Ihnen, mehrere Aktionen in einer Richtlinie zu kombinieren. Sie können nur einen Snapshot erstellen (im Kontext von`CreateSnapshots`), wenn der Snapshot in der Region `us-east-1` erstellt wird. Sie können nur Snapshots erstellen (im Kontext von `CreateSnapshots`) wenn die Snapshots in der Region `us-east-1` erstellt werden und der Instance-Typ `t2*` lautet.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":[
"ec2:CreateSnapshots",
"ec2:CreateSnapshot",
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:snapshot/*",
"arn:aws:ec2:*:*:volume/*"
],
"Condition":{
"StringEqualsIgnoreCase": {
"ec2:Region": "us-east-1"
},
"StringLikeIfExists": {
"ec2:InstanceType": ["t2.*"]
}
}
}
]
}
```
------
### Beispiel: Snapshots kopieren
Die für die **CopySnapshot**Aktion angegebenen Berechtigungen auf Ressourcenebene gelten sowohl für den neuen Snapshot als auch für den Quell-Snapshot.
Die folgende Beispielrichtlinie ermöglicht es Prinzipalen, Snapshots nur zu kopieren, wenn der neue Snapshot mit dem Tag (Markierung)-Schlüssel von `purpose` und einem Tag (Markierung)-Wert von `production` (`purpose=production`) erstellt wird.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCopySnapshotWithTags",
"Effect": "Allow",
"Action": "ec2:CopySnapshot",
"Resource": "arn:aws:ec2:*:{{111122223333}}:snapshot/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/purpose": "production"
}
}
}
]
}
```
------
Die folgende Beispielrichtlinie erlaubt Prinzipalen das Kopieren von Snapshots nur, wenn der Quell-Snapshot einem Konto gehört. AWS `123456789012`
Die folgende Beispielrichtlinie erlaubt Prinzipalen das Kopieren von Snapshots nur, wenn der Quell-Snapshot mit dem Tag-Schlüssel von erstellt wurde. `CSISnapshotName`
```
{
"Effect": "Allow",
"Action": "ec2:CopySnapshot",
"Resource": "arn:aws:ec2:*::snapshot/${*}",
"Condition": {
"StringLike": {
"aws:RequestTag/CSISnapshotName": "*"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CopySnapshot",
"Resource": "arn:aws:ec2:*::snapshot/snap-*"
}
```
### Beispiel: Ändern der Berechtigungseinstellungen für Snapshots
Die folgende Richtlinie erlaubt die Änderung eines Snapshots nur, wenn der Snapshot mit dem Tag gekennzeichnet ist`User:{{username}}`, wobei der Benutzername des AWS Kundenkontos {{username}} steht. Die Anforderung schlägt fehl, wenn diese Bedingungen nicht erfüllt ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":"ec2:ModifySnapshotAttribute",
"Resource":"arn:aws:ec2:us-east-1::snapshot/*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/user-name":"${aws:{{username}}}"
}
}
}
]
}
```
------