Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Erforderliche IAM-Berechtigungen für die Archivierung von Amazon EBS-Snapshots Standardmäßig verfügen Benutzer nicht über die Berechtigung zur Verwendung der Snapshot-Archivierung. Damit Benutzer die Snapshot-Archivierung verwenden können, müssen Sie IAM-Richtlinien erstellen, die die Berechtigung zur Verwendung bestimmter Ressourcen und API-Aktionen gewähren. Weitere Informationen finden Sie unter [Erstellen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im IAM-Benutzerhandbuch. Zur Verwendung der Snapshot-Archivierung müssen Benutzer über die folgenden Berechtigungen verfügen. + `ec2:DescribeSnapshotTierStatus` + `ec2:ModifySnapshotTier` + `ec2:RestoreSnapshotTier` Konsolenbenutzer benötigen möglicherweise zusätzliche Berechtigungen wie `ec2:DescribeSnapshots`. Um verschlüsselte Snapshots zu archivieren und wiederherzustellen, sind die folgenden zusätzlichen AWS KMS Berechtigungen erforderlich. + `kms:CreateGrant` + `kms:Decrypt` + `kms:DescribeKey` Im Folgenden finden Sie ein Beispiel für eine IAM-Richtlinie, die IAM-Benutzern die Berechtigung zum Archivieren, Wiederherstellen und Anzeigen verschlüsselter und unverschlüsselter Snapshots gewährt. Es umfasst die `ec2:DescribeSnapshots`-Berechtigung für Konsolenbenutzer. Werden einige Berechtigungen nicht benötigt, können Sie sie aus der Richtlinie entfernen. **Tipp** Um den Grundsatz der Erteilung der geringsten erforderlichen Berechtigungen zu befolgen, lassen Sie den vollständigen Zugriff auf `kms:CreateGrant` nicht zu. Verwenden Sie stattdessen den `kms:GrantIsForAWSResource` Bedingungsschlüssel, damit der Benutzer nur dann Berechtigungen für den KMS-Schlüssel erstellen kann, wenn die Zuweisung im Namen des Benutzers von einem AWS Dienst erstellt wird, wie im folgenden Beispiel gezeigt. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeSnapshotTierStatus", "ec2:ModifySnapshotTier", "ec2:RestoreSnapshotTier", "ec2:DescribeSnapshots", "kms:CreateGrant", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } }] } ``` ------ Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu: + Benutzer und Gruppen in AWS IAM Identity Center: Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter [Erstellen eines Berechtigungssatzes](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) im *AWS IAM Identity Center -Benutzerhandbuch*. + Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden: Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter [Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) im *IAM-Benutzerhandbuch*. + IAM-Benutzer: + Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter [Eine Rolle für einen IAM-Benutzer erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) im *IAM-Benutzerhandbuch*. + (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter [Hinzufügen von Berechtigungen zu einem Benutzer (Konsole)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.