Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kontrol akses ke EBS langsung APIs menggunakan IAM
Pengguna harus memiliki kebijakan berikut untuk menggunakan EBS direct APIs. Untuk informasi selengkapnya, lihat [Mengubah izin untuk pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html).
Untuk informasi selengkapnya tentang kunci konteks APIs sumber daya, tindakan, dan kondisi langsung EBS untuk digunakan dalam kebijakan izin IAM, lihat Kunci [tindakan, sumber daya, dan kondisi untuk Amazon Elastic Block Store](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticblockstore.html) di Referensi *Otorisasi Layanan*.
**penting**
Berhati-hatilah saat menetapkan kebijakan berikut kepada pengguna. Dengan menetapkan kebijakan ini, Anda dapat memberikan akses ke pengguna yang ditolak akses ke sumber daya yang sama melalui Amazon APIs EC2, seperti CopySnapshot tindakan atau. CreateVolume
## Izin untuk membaca snapshot
Kebijakan berikut memungkinkan EBS langsung *dibaca* APIs untuk digunakan pada semua snapshot di Wilayah tertentu AWS . Dalam kebijakan, ganti ** dengan Wilayah snapshot.
Kebijakan berikut memungkinkan EBS langsung *dibaca* digunakan APIs pada snapshot dengan tag nilai kunci tertentu. Dalam kebijakan, ganti ** dengan nilai kunci tag, dan ** dengan nilai tag.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:ListChangedBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"StringEqualsIgnoreCase": {
"aws:ResourceTag/": ""
}
}
}
]
}
```
------
Kebijakan berikut memungkinkan semua EBS langsung yang *dibaca* APIs untuk digunakan pada semua snapshot di akun hanya dalam rentang waktu tertentu. Kebijakan ini mengizinkan penggunaan langsung EBS APIs berdasarkan kunci kondisi `aws:CurrentTime` global. Dalam kebijakan tersebut, pastikan Anda mengganti rentang tanggal dan waktu yang ditampilkan sesuai rentang tanggal dan waktu untuk kebijakan Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:ListChangedBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"DateGreaterThan": {
"aws:CurrentTime": "2018-05-29T00:00:00Z"
},
"DateLessThan": {
"aws:CurrentTime": "2020-05-29T23:59:59Z"
}
}
}
]
}
```
------
Untuk informasi selengkapnya, lihat [Mengubah izin untuk pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) pada *Panduan Pengguna IAM*.
## Izin untuk menulis snapshot
Kebijakan berikut memungkinkan *penulisan* EBS langsung APIs digunakan pada semua snapshot di Wilayah tertentu AWS . Dalam kebijakan, ganti ** dengan Wilayah snapshot.
Kebijakan berikut memungkinkan *penulisan* langsung EBS digunakan APIs pada snapshot dengan tag nilai kunci tertentu. Dalam kebijakan, ganti ** dengan nilai kunci tag, dan ** dengan nilai tag.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ebs:StartSnapshot",
"ebs:PutSnapshotBlock",
"ebs:CompleteSnapshot"
],
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"StringEqualsIgnoreCase": {
"aws:ResourceTag/": ""
}
}
}
]
}
```
------
Kebijakan berikut memungkinkan semua EBS langsung APIs digunakan. Hal ini juga memungkinkan tindakan `StartSnapshot` hanya jika ID snapshot induk ditentukan. Oleh karena itu, kebijakan ini memblokir kemampuan untuk memulai snapshot baru menggunakan snapshot induk.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ebs:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"ebs:ParentSnapshot": "arn:aws:ec2:*::snapshot/*"
}
}
}
]
}
```
------
Kebijakan berikut memungkinkan semua EBS langsung APIs digunakan. Kebijakan tersebut juga hanya memungkinkan kunci tanda `user` dibuat untuk snapshot baru. Kebijakan ini juga memastikan bahwa pengguna memiliki akses untuk membuat tanda. Tindakan `StartSnapshot` adalah satu-satunya tindakan yang dapat menentukan tanda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ebs:*",
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": "user"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "*"
}
]
}
```
------
Kebijakan berikut memungkinkan semua *penulisan* EBS langsung APIs digunakan pada semua snapshot di akun hanya dalam rentang waktu tertentu. Kebijakan ini mengizinkan penggunaan langsung EBS APIs berdasarkan kunci kondisi `aws:CurrentTime` global. Dalam kebijakan tersebut, pastikan Anda mengganti rentang tanggal dan waktu yang ditampilkan sesuai rentang tanggal dan waktu untuk kebijakan Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ebs:StartSnapshot",
"ebs:PutSnapshotBlock",
"ebs:CompleteSnapshot"
],
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"DateGreaterThan": {
"aws:CurrentTime": "2018-05-29T00:00:00Z"
},
"DateLessThan": {
"aws:CurrentTime": "2020-05-29T23:59:59Z"
}
}
}
]
}
```
------
Untuk informasi selengkapnya, lihat [Mengubah izin untuk pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) pada *Panduan Pengguna IAM*.
## Izin untuk digunakan AWS KMS keys
Kebijakan berikut memberikan izin untuk mendekripsi snapshot terenkripsi menggunakan kunci KMS tertentu. Kebijakan ini juga memberikan izin untuk mengenkripsi snapshot baru menggunakan kunci KMS default untuk enkripsi EBS. Dalam kebijakan, ganti ** dengan wilayah kunci KMS, ** dengan ID AWS akun kunci KMS, dan ** dengan ID kunci KMS.
**catatan**
Secara default, semua prinsipal di akun memiliki akses ke kunci KMS AWS terkelola default untuk enkripsi Amazon EBS, dan mereka dapat menggunakannya untuk operasi enkripsi dan dekripsi EBS. Jika Anda menggunakan kunci yang dikelola pelanggan, Anda harus membuat kebijakan kunci baru atau memodifikasi kebijakan kunci yang ada untuk kunci yang dikelola pelanggan untuk memberi pengguna utama akses utama ke kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat [Kebijakan kunci di AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) di *Panduan Developer AWS Key Management Service *.
**Tip**
Untuk mengikuti prinsip hak akses paling rendah, jangan biarkan akses penuh ke `kms:CreateGrant`. Sebagai gantinya, gunakan tombol `kms:GrantIsForAWSResource` kondisi untuk memungkinkan pengguna membuat hibah pada kunci KMS hanya ketika hibah dibuat atas nama pengguna oleh AWS layanan, seperti yang ditunjukkan pada contoh berikut.
Untuk informasi selengkapnya, lihat [Mengubah izin untuk pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) pada *Panduan Pengguna IAM*.