Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Esempi di politiche IAM per Amazon EBS
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse Amazon EBS. Inoltre, non possono eseguire attività utilizzando Console di gestione AWS, AWS Command Line Interface (AWS CLI) o AWS API. Per concedere agli utenti l’autorizzazione a eseguire operazioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM. L'amministratore può quindi aggiungere le policy IAM ai ruoli e gli utenti possono assumere i ruoli.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l'utente di IAM*.
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Consenti agli utenti di utilizzare la console Amazon EBS](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Consenti agli utenti di lavorare con i volumi](#iam-example-manage-volumes)
+ [Consenti agli utenti di lavorare con le istantanee](#iam-example-manage-snapshots)
## Best practice per le policy
Le policy basate sull'identità determinano se qualcuno può creare, accedere o eliminare risorse Amazon EBS nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Consenti agli utenti di utilizzare la console Amazon EBS
Per accedere alla console Amazon Elastic Block Store, devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse Amazon EBS presenti nel tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso AWS CLI o l'API. AWS Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Per garantire che utenti e ruoli possano continuare a utilizzare la console Amazon EBS, collega anche Amazon EBS `ConsoleAccess` o la policy `ReadOnly` AWS gestita alle entità. Per maggiori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente di IAM*.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa policy include le autorizzazioni per completare questa azione sulla console o utilizzando programmaticamente l'API o. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Consenti agli utenti di lavorare con i volumi
**Topics**
+ [Esempio: collegamento e scollegamento di volumi](#iam-example-manage-volumes-attach-detach)
+ [Esempio: creazione di un volume](#iam-example-manage-volumes-create)
+ [Esempio: creazione di un volume con tag](#iam-example-manage-volumes-tags)
+ [Esempio: lavorare con i volumi utilizzando la console Amazon EC2](#ex-volumes)
### Esempio: collegamento e scollegamento di volumi
Se un'operazione dell'API richiede un chiamante per la specifica di più risorse, devi creare un'istruzione della policy che consenta agli utenti di accedere a tutte le risorse richieste. Se devi utilizzare un elemento `Condition` con una o più di tali risorse, devi creare più istruzioni come mostrato in questo esempio.
La seguente politica consente agli utenti di allegare volumi con il tag "`volume_user`= *iam-user-name*" alle istanze con il tag "`department=dev`«e di scollegare tali volumi da tali istanze. Se colleghi questa policy a un gruppo IAM, la variabile di policy `aws:username` concede a ciascun utente del gruppo l'autorizzazione per collegare o scollegare i volumi dalle istanze con un tag denominato `volume_user` per cui è stato impostato come valore il nome dell'utente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": "arn:aws:ec2:us-east-1:111122223333:instance/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/department": "dev"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": "arn:aws:ec2:us-east-1:111122223333:volume/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/volume_user": "${aws:username}"
}
}
}
]
}
```
------
### Esempio: creazione di un volume
La seguente politica consente agli utenti di utilizzare l'[CreateVolume](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVolume.html)azione API. Gli utenti possono creare un volume soltanto se quest'ultimo è crittografato e se la sua dimensione non supera 20 GiB.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateVolume"
],
"Resource": "arn:aws:ec2:us-east-1:111122223333:volume/*",
"Condition": {
"NumericLessThan": {
"ec2:VolumeSize": "20"
},
"Bool": {
"ec2:Encrypted": "true"
}
}
}
]
}
```
------
### Esempio: creazione di un volume con tag
La policy seguente include la chiave di condizione `aws:RequestTag` che richiede agli utenti di applicare dei tag ai volumi creati con i tag `costcenter=115` e `stack=prod`. Se gli utenti non indicano questi tag specifici, o se non specificano nessun tag, la richiesta non riesce.
Per le operazioni di creazione delle risorse in cui vengono applicati i tag, gli utenti devono disporre anche delle autorizzazioni per utilizzare l'operazione `CreateTags`. La seconda istruzione utilizza la chiave di condizione `ec2:CreateAction` per consentire agli utenti di creare i tag soltanto nel contesto di `CreateVolume`. Gli utenti non possono aggiungere tag sui volumi o altre risorse esistenti.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateTaggedVolumes",
"Effect": "Allow",
"Action": "ec2:CreateVolume",
"Resource": "arn:aws:ec2:us-east-1:111122223333:volume/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/costcenter": "115",
"aws:RequestTag/stack": "prod"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:us-east-1:111122223333:volume/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateVolume"
}
}
}
]
}
```
------
La policy seguente consente agli utenti di creare un volume senza dover specificare i tag. L'operazione `CreateTags` viene valutata soltanto se i tag vengono specificati nella richiesta `CreateVolume`. Se gli utenti specificano dei tag, questi ultimi devono essere `purpose=test`. Non sono consentiti altri tag nella richiesta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateVolume",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:us-east-1:111122223333:volume/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/purpose": "test",
"ec2:CreateAction": "CreateVolume"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "purpose"
}
}
}
]
}
```
------
### Esempio: lavorare con i volumi utilizzando la console Amazon EC2
La seguente policy concede agli utenti l'autorizzazione a visualizzare e creare volumi e a collegare e scollegare volumi a istanze specifiche utilizzando la console Amazon EC2.
Gli utenti possono collegare qualsiasi volume alle istanze con il tag "`purpose=test`" e scollegare volumi da tali istanze. Per collegare un volume utilizzando la console Amazon EC2, è utile che gli utenti dispongano dell'autorizzazione per utilizzare l'operazione `ec2:DescribeInstances`, in quanto consente di selezionare un'istanza da un elenco precompilato nella finestra di dialogo **Attach Volume (Collega volume)**. Tuttavia, consente inoltre di visualizzare tutte le istanze nella pagina **Instances (Istanze)** nella console, pertanto è possibile omettere questa operazione.
Nella prima istruzione, l'operazione `ec2:DescribeAvailabilityZones` è necessaria per consentire a un utente di selezionare una zona di disponibilità durante la creazione di un volume.
Gli utenti non possono applicare tag ai volumi creati (durante o dopo la creazione dei volumi).
## Consenti agli utenti di lavorare con le istantanee
Di seguito sono riportati alcuni esempi di policy sia per `CreateSnapshot` (point-in-timeistantanea di un volume EBS) che per `CreateSnapshots` (istantanee multivolume).
**Topics**
+ [Esempio: creazione di uno snapshot](#iam-creating-snapshot)
+ [Esempio: creazione di snapshot](#iam-creating-snapshots)
+ [Esempio: creazione di uno snapshot con tag](#iam-creating-snapshot-with-tags)
+ [Esempio: creazione di snapshot di più volumi con tag](#iam-creating-snapshots-with-tags)
+ [Esempio: copia di snapshot](#iam-copy-snapshot)
+ [Esempio: modifica delle impostazioni di autorizzazione per gli snapshot](#iam-modifying-snapshot-with-tags)
### Esempio: creazione di uno snapshot
La seguente politica consente ai clienti di utilizzare l'azione API. [CreateSnapshot](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSnapshot.html) Il cliente può creare snapshot solo se il volume è crittografato e se le dimensioni del volume non superano 20 GiB.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateSnapshot",
"Resource": "arn:aws:ec2:us-east-1::snapshot/*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateSnapshot",
"Resource": "arn:aws:ec2:us-east-1:111122223333:volume/*",
"Condition": {
"NumericLessThan": {
"ec2:VolumeSize": "20"
},
"Bool": {
"ec2:Encrypted": "true"
}
}
}
]
}
```
------
### Esempio: creazione di snapshot
La seguente politica consente ai clienti di utilizzare l'azione [CreateSnapshots](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSnapshots.html)API. Il cliente può creare istantanee solo se tutti i volumi dell'istanza sono GP2 digitati.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":"ec2:CreateSnapshots",
"Resource":[
"arn:aws:ec2:us-east-1::snapshot/*",
"arn:aws:ec2:*:*:instance/*"
]
},
{
"Effect":"Allow",
"Action":"ec2:CreateSnapshots",
"Resource":"arn:aws:ec2:us-east-1:*:volume/*",
"Condition":{
"StringLikeIfExists":{
"ec2:VolumeType":"gp2"
}
}
}
]
}
```
------
### Esempio: creazione di uno snapshot con tag
La policy seguente include la chiave di condizione `aws:RequestTag` che richiede ai clienti di applicare i tag `costcenter=115` e `stack=prod` alle nuove snapshot. Se gli utenti non indicano questi tag specifici, o se non specificano nessun tag, la richiesta non riesce.
Per le operazioni di creazione delle risorse in cui vengono applicati i tag, i clienti devono disporre anche delle autorizzazioni per utilizzare l'operazione `CreateTags`. La terza istruzione utilizza la chiave di condizione `ec2:CreateAction` per consentire ai clienti di creare i tag soltanto nel contesto di `CreateSnapshot`. I clienti non possono aggiungere tag sui volumi o altre risorse esistenti.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateSnapshot",
"Resource": "arn:aws:ec2:us-east-1:111122223333:volume/*"
},
{
"Sid": "AllowCreateTaggedSnapshots",
"Effect": "Allow",
"Action": "ec2:CreateSnapshot",
"Resource": "arn:aws:ec2:us-east-1::snapshot/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/costcenter": "115",
"aws:RequestTag/stack": "prod"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:us-east-1::snapshot/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateSnapshot"
}
}
}
]
}
```
------
### Esempio: creazione di snapshot di più volumi con tag
La policy seguente include la chiave di condizione `aws:RequestTag` che richiede ai clienti di applicare i tag `costcenter=115` e `stack=prod` quando viene creata una serie di snapshot di più volumi. Se gli utenti non indicano questi tag specifici, o se non specificano nessun tag, la richiesta non riesce.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":"ec2:CreateSnapshots",
"Resource":[
"arn:aws:ec2:us-east-1::snapshot/*",
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*"
]
},
{
"Sid":"AllowCreateTaggedSnapshots",
"Effect":"Allow",
"Action":"ec2:CreateSnapshots",
"Resource":"arn:aws:ec2:us-east-1::snapshot/*",
"Condition":{
"StringEquals":{
"aws:RequestTag/costcenter":"115",
"aws:RequestTag/stack":"prod"
}
}
},
{
"Effect":"Allow",
"Action":"ec2:CreateTags",
"Resource":"arn:aws:ec2:us-east-1::snapshot/*",
"Condition":{
"StringEquals":{
"ec2:CreateAction":"CreateSnapshots"
}
}
}
]
}
```
------
La policy seguente consente ai clienti di creare una snapshot senza dover specificare i tag. L'operazione `CreateTags` viene valutata soltanto se i tag vengono specificati nella richiesta `CreateSnapshot` o `CreateSnapshots`. I tag possono essere omessi nella richiesta. Se viene specificato, il tag deve essere `purpose=test`. Non sono consentiti altri tag nella richiesta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":"ec2:CreateSnapshot",
"Resource":"*"
},
{
"Effect":"Allow",
"Action":"ec2:CreateTags",
"Resource":"arn:aws:ec2:us-east-1::snapshot/*",
"Condition":{
"StringEquals":{
"aws:RequestTag/purpose":"test",
"ec2:CreateAction":"CreateSnapshot"
},
"ForAllValues:StringEquals":{
"aws:TagKeys":"purpose"
}
}
}
]
}
```
------
La policy seguente consente ai clienti di creare una snapshot di più volumi senza specificare tag. L'operazione `CreateTags` viene valutata soltanto se i tag vengono specificati nella richiesta `CreateSnapshot` o `CreateSnapshots`. I tag possono essere omessi nella richiesta. Se viene specificato, il tag deve essere `purpose=test`. Non sono consentiti altri tag nella richiesta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":"ec2:CreateSnapshots",
"Resource":"*"
},
{
"Effect":"Allow",
"Action":"ec2:CreateTags",
"Resource":"arn:aws:ec2:us-east-1::snapshot/*",
"Condition":{
"StringEquals":{
"aws:RequestTag/purpose":"test",
"ec2:CreateAction":"CreateSnapshots"
},
"ForAllValues:StringEquals":{
"aws:TagKeys":"purpose"
}
}
}
]
}
```
------
La policy seguente consente la creazione di snapshot soltanto se il volume di origine dispone del tag `User:username` per il cliente e se la snapshot stessa dispone dei tag `Environment:Dev` e `User:username`. I clienti possono aggiungere altri tag allo snapshot.
La policy seguente per `CreateSnapshots` consente la creazione di snapshot soltanto se il volume di origine dispone del tag `User:username` per il cliente e se la snapshot stessa dispone dei tag `Environment:Dev` e `User:username`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateSnapshots",
"Resource": "arn:aws:ec2:us-east-1:*:instance/*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateSnapshots",
"Resource": "arn:aws:ec2:us-east-1:111122223333:volume/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/User": "${aws:username}"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateSnapshots",
"Resource": "arn:aws:ec2:us-east-1::snapshot/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Environment": "Dev",
"aws:RequestTag/User": "${aws:username}"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:us-east-1::snapshot/*"
}
]
}
```
------
La policy seguente consente l'eliminazione di una snapshot soltanto se quest'ultima dispone del tag User:*username* per il cliente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":"ec2:DeleteSnapshot",
"Resource":"arn:aws:ec2:us-east-1::snapshot/*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/User":"${aws:username}"
}
}
}
]
}
```
------
La policy seguente consente ai clienti di creare una snapshot ma rifiuta l'operazione se la snapshot in fase di creazione dispone della chiave di tag `value=stack`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":[
"ec2:CreateSnapshot",
"ec2:CreateTags"
],
"Resource":"*"
},
{
"Effect":"Deny",
"Action":"ec2:CreateSnapshot",
"Resource":"arn:aws:ec2:us-east-1::snapshot/*",
"Condition":{
"ForAnyValue:StringEquals":{
"aws:TagKeys":"stack"
}
}
}
]
}
```
------
La policy seguente consente ai clienti di creare snapshot ma rifiuta l'operazione se gli snapshot in fase di creazione dispongono della chiave di tag `value=stack`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":[
"ec2:CreateSnapshots",
"ec2:CreateTags"
],
"Resource":"*"
},
{
"Effect":"Deny",
"Action":"ec2:CreateSnapshots",
"Resource":"arn:aws:ec2:us-east-1::snapshot/*",
"Condition":{
"ForAnyValue:StringEquals":{
"aws:TagKeys":"stack"
}
}
}
]
}
```
------
La policy seguente consente di combinare più operazioni in una singola policy. Puoi creare una snapshot (nel contesto di `CreateSnapshots`) solo quando viene creata nella regione `us-east-1`. Puoi creare snapshot (nel contesto di `CreateSnapshots`) solo quando vengono create nella regione `us-east-1` e quando il tipo di istanza è `t2*`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":[
"ec2:CreateSnapshots",
"ec2:CreateSnapshot",
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:snapshot/*",
"arn:aws:ec2:*:*:volume/*"
],
"Condition":{
"StringEqualsIgnoreCase": {
"ec2:Region": "us-east-1"
},
"StringLikeIfExists": {
"ec2:InstanceType": ["t2.*"]
}
}
}
]
}
```
------
### Esempio: copia di snapshot
Le autorizzazioni a livello di risorsa specificate per l'**CopySnapshot**azione si applicano sia alla nuova istantanea che a quella di origine.
La policy di esempio seguente consente alle entità principali di copiare snapshot solo se il nuovo snapshot viene creato con la chiave tag `purpose` e il valore del tag `production` (`purpose=production`).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCopySnapshotWithTags",
"Effect": "Allow",
"Action": "ec2:CopySnapshot",
"Resource": "arn:aws:ec2:*:111122223333:snapshot/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/purpose": "production"
}
}
}
]
}
```
------
La seguente politica di esempio consente ai responsabili di copiare le istantanee solo se lo snapshot di origine è di proprietà dell'account. AWS `123456789012`
La seguente politica di esempio consente ai responsabili di copiare le istantanee solo se l'istantanea di origine viene creata con la chiave tag di. `CSISnapshotName`
```
{
"Effect": "Allow",
"Action": "ec2:CopySnapshot",
"Resource": "arn:aws:ec2:*::snapshot/${*}",
"Condition": {
"StringLike": {
"aws:RequestTag/CSISnapshotName": "*"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CopySnapshot",
"Resource": "arn:aws:ec2:*::snapshot/snap-*"
}
```
### Esempio: modifica delle impostazioni di autorizzazione per gli snapshot
La seguente politica consente la modifica di un'istantanea solo se l'istantanea è contrassegnata con`User:username`, *username* dov'è il nome utente dell'account del cliente. AWS Se questa condizione non viene rispettata, la richiesta non riesce.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":"ec2:ModifySnapshotAttribute",
"Resource":"arn:aws:ec2:us-east-1::snapshot/*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/user-name":"${aws:username}"
}
}
}
]
}
```
------