Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Izin IAM yang diperlukan untuk mengarsipkan snapshot Amazon EBS Secara default, pengguna tidak memiliki izin untuk menggunakan pengarsipan snapshot. Untuk mengizinkan pengguna bekerja dengan sumber daya ini, Anda harus membuat kebijakan IAM yang memberikan izin menggunakan sumber daya dan tindakan API tertentu. Untuk informasi selengkapnya, lihat [Membuat kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam Panduan Pengguna IAM. Untuk menggunakan pengarsipan snapshot, pengguna memerlukan izin berikut. + `ec2:DescribeSnapshotTierStatus` + `ec2:ModifySnapshotTier` + `ec2:RestoreSnapshotTier` Pengguna konsol mungkin memerlukan izin tambahan seperti `ec2:DescribeSnapshots`. Untuk mengarsipkan dan memulihkan snapshot terenkripsi, AWS KMS izin tambahan berikut diperlukan. + `kms:CreateGrant` + `kms:Decrypt` + `kms:DescribeKey` Berikut ini adalah contoh kebijakan IAM yang memberikan izin kepada pengguna IAM untuk mengarsipkan, memulihkan, serta melihat snapshot terenkripsi dan tidak terenkripsi. Ini termasuk izin `ec2:DescribeSnapshots` untuk pengguna konsol. Jika beberapa izin tidak diperlukan, Anda dapat menghapusnya dari kebijakan. **Tip** Untuk mengikuti prinsip hak akses paling rendah, jangan biarkan akses penuh ke `kms:CreateGrant`. Sebagai gantinya, gunakan tombol `kms:GrantIsForAWSResource` kondisi untuk memungkinkan pengguna membuat hibah pada kunci KMS hanya ketika hibah dibuat atas nama pengguna oleh AWS layanan, seperti yang ditunjukkan pada contoh berikut. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeSnapshotTierStatus", "ec2:ModifySnapshotTier", "ec2:RestoreSnapshotTier", "ec2:DescribeSnapshots", "kms:CreateGrant", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } }] } ``` ------ Untuk memberikan akses dan menambahkan izin bagi pengguna, grup, atau peran Anda: + Pengguna dan grup di AWS IAM Identity Center: Buat rangkaian izin. Ikuti instruksi di [Buat rangkaian izin](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) dalam *Panduan Pengguna AWS IAM Identity Center *. + Pengguna yang dikelola di IAM melalui penyedia identitas: Buat peran untuk federasi identitas. Ikuti instruksi dalam [Buat peran untuk penyedia identitas pihak ketiga (federasi)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dalam *Panduan Pengguna IAM*. + Pengguna IAM: + Buat peran yang dapat diambil pengguna Anda. Ikuti instruksi dalam [Buat peran untuk pengguna IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dalam *Panduan Pengguna IAM*. + (Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam [Menambahkan izin ke pengguna (konsol)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.