Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Control de acceso al bloqueo de instantáneas de Amazon EBS
<a name="snapshot-lock-iam"></a>

De forma predeterminada, los usuarios no tienen permiso para trabajar con bloqueos de instantáneas. Para permitir a los usuarios utilizar bloqueos de instantáneas, tiene que crear políticas de IAM que les concedan permisos para utilizar recursos y acciones de API específicos. Para obtener más información, consulte [Creación de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la Guía del usuario de IAM.

**Topics**
+ [Permisos necesarios](#snapshot-lock-req-perms)
+ [Restricción del acceso con claves de condición](#snapshot-lock-condition-keys)

## Permisos necesarios
<a name="snapshot-lock-req-perms"></a>

Para trabajar con bloqueos de instantáneas, los usuarios necesitan los siguientes permisos.
+ `ec2:LockSnapshot`: para bloquear las instantáneas.
+ `ec2:UnlockSnapshot`: para desbloquear las instantáneas.
+ `ec2:DescribeLockedSnapshots`: para ver la configuración de bloqueo de instantáneas.

A continuación, se muestra un ejemplo de política de IAM que concede a los usuarios permiso para bloquear y desbloquear instantáneas y para ver la configuración de bloqueo de instantáneas. Incluye el permiso `ec2:DescribeSnapshots` para los usuarios de la consola. Si algunos permisos no se necesitan, puede eliminarlos de la política.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowSnapshotLockOperations",
      "Effect": "Allow",
      "Action": [
        "ec2:LockSnapshot",
        "ec2:UnlockSnapshot",
        "ec2:DescribeLockedSnapshots",
        "ec2:DescribeSnapshots"
      ],
      "Resource": [
        "arn:aws:ec2:*::snapshot/*",
        "arn:aws:ec2:*:111122223333:volume/*"
      ]
    }
  ]
}
```

------

Para dar acceso, agregue permisos a los usuarios, grupos o roles:
+ Usuarios y grupos en: AWS IAM Identity Center

  Cree un conjunto de permisos. Siga las instrucciones de [Creación de un conjunto de permisos](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) en la *Guía del usuario de AWS IAM Identity Center *.
+ Usuarios gestionados en IAM a través de un proveedor de identidades:

  Cree un rol para la federación de identidades. Siga las instrucciones descritas en [Creación de un rol para un proveedor de identidad de terceros (federación)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) en la *Guía del usuario de IAM*.
+ Usuarios de IAM:
  + Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en [Creación de un rol para un usuario de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) en la *Guía del usuario de IAM*.
  + (No recomendado) Adjunte una política directamente a un usuario o agregue un usuario a un grupo de usuarios. Siga las instrucciones descritas en [Adición de permisos a un usuario (consola)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) de la *Guía del usuario de IAM*.

## Restricción del acceso con claves de condición
<a name="snapshot-lock-condition-keys"></a>

Puede utilizar claves de condición para restringir la forma en que los usuarios pueden bloquear las instantáneas.

**Topics**
+ [ec2: SnapshotLockDuration](#snapshotlockduration)
+ [ec2: CoolOffPeriod](#cooloffperiod)

### ec2: SnapshotLockDuration
<a name="snapshotlockduration"></a>

Puede usar la clave de condición `ec2:SnapshotLockDuration` para restringir a los usuarios a periodos de bloqueo específicos al bloquear las instantáneas.

En el siguiente ejemplo de política se restringe a los usuarios a especificar una duración de bloqueo de entre `10` y `50` días.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowSnapshotLockWithDurationCondition",
      "Effect": "Allow",
      "Action": "ec2:LockSnapshot",
      "Resource": "arn:aws:ec2:*::snapshot/*",
      "Condition": {
        "NumericGreaterThan": {
          "ec2:SnapshotLockDuration": 10
        },
        "NumericLessThan": {
          "ec2:SnapshotLockDuration": 50
        }
      }
    }
  ]
}
```

------

### ec2: CoolOffPeriod
<a name="cooloffperiod"></a>

Puede utilizar la clave de condición `ec2:CoolOffPeriod` para evitar que los usuarios bloqueen las instantáneas en el modo de conformidad sin un periodo de reflexión.

En el siguiente ejemplo de política se restringe a los usuarios a especificar un periodo de reflexión superior a `48` horas al bloquear las instantáneas en el modo de conformidad.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowSnapshotLockWithCondition",
      "Effect": "Allow",
      "Action": "ec2:LockSnapshot",
      "Resource": "arn:aws:ec2:*::snapshot/*",
      "Condition": {
        "NumericGreaterThan": {
          "ec2:SnapshotTime": 48
        }
      }
    }
  ]
}
```

------