翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon EBS スナップショットロックへのアクセスを制御
デフォルトでは、 ユーザーにはスナップショットロックを使用する許可はありません。ユーザーがスナップショットロックを使用するには、特定のリソースと API アクションを使用する許可を付与する IAM ポリシーを作成する必要があります。詳細については、「IAM ユーザーガイド」の「[IAM ポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。
**Topics**
+ [必要なアクセス許可](#snapshot-lock-req-perms)
+ [条件キーでアクセスを制限します。](#snapshot-lock-condition-keys)
## 必要なアクセス許可
スナップショットロックを使用するには、次の許可をユーザーに付与する必要があります。
+ `ec2:LockSnapshot` – スナップショットをロックします。
+ `ec2:UnlockSnapshot` – スナップショットのロックを解除します。
+ `ec2:DescribeLockedSnapshots` – スナップショットロック設定を表示します。
以下は、スナップショットをロックおよびロック解除したり、スナップショットロック設定を表示したりする許可をユーザーに付与する IAM ポリシーの例です。これには、コンソールユーザーの `ec2:DescribeSnapshots` 許可が含まれます。一部の許可が不要な場合は、ポリシーから削除できます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSnapshotLockOperations",
"Effect": "Allow",
"Action": [
"ec2:LockSnapshot",
"ec2:UnlockSnapshot",
"ec2:DescribeLockedSnapshots",
"ec2:DescribeSnapshots"
],
"Resource": [
"arn:aws:ec2:*::snapshot/*",
"arn:aws:ec2:*:111122223333:volume/*"
]
}
]
}
```
------
アクセスを提供するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
+ のユーザーとグループ AWS IAM アイデンティティセンター:
アクセス許可セットを作成します。「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順に従ってください。
+ IAM 内で、ID プロバイダーによって管理されているユーザー:
ID フェデレーションのロールを作成します。詳細については *IAM ユーザーガイド* の [サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) を参照してください。
+ IAM ユーザー:
+ ユーザーが担当できるロールを作成します。手順については *IAM ユーザーガイド* の [IAM ユーザーのロールの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) を参照してください。
+ (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。*IAM ユーザーガイド* の [ユーザー (コンソール) へのアクセス許可の追加](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) の指示に従います。
## 条件キーでアクセスを制限します。
条件キーを使用して、スナップショットをロックする方法を制限できます。
**Topics**
+ [ec2:SnapshotLockDuration](#snapshotlockduration)
+ [ec2:CoolOffPeriod](#cooloffperiod)
### ec2:SnapshotLockDuration
`ec2:SnapshotLockDuration` 条件キーを使用すると、スナップショットをロックするときにユーザーが指定できるロック期間を制限できます。
次のポリシー例では、ユーザーが指定できるロック期間を `10`~`50` 日に制限しています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSnapshotLockWithDurationCondition",
"Effect": "Allow",
"Action": "ec2:LockSnapshot",
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"NumericGreaterThan": {
"ec2:SnapshotLockDuration": 10
},
"NumericLessThan": {
"ec2:SnapshotLockDuration": 50
}
}
}
]
}
```
------
### ec2:CoolOffPeriod
`ec2:CoolOffPeriod` 条件キーを使用すると、ユーザーがクーリングオフ期間を設定していないコンプライアンスモードでスナップショットをロックできないようにすることができます。
以下のポリシー例では、コンプライアンスモードでスナップショットをロックする際、ユーザーがクーリングオフ期間を `48` 時間より長く指定することを制限しています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSnapshotLockWithCondition",
"Effect": "Allow",
"Action": "ec2:LockSnapshot",
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"NumericGreaterThan": {
"ec2:SnapshotTime": 48
}
}
}
]
}
```
------