Amazon EBS 스냅샷 잠금에 대한 액세스 제어
기본적으로 사용자에게는 스냅샷 잠금 사용 권한이 없습니다. 사용자가 스냅샷 잠금을 사용하도록 허용하려면 특정 리소스 및 API 작업을 사용할 권한을 부여하는 IAM 정책을 생성해야 합니다. 자세한 내용은 IAM 사용 설명서의 IAM 정책 생성을 참조하세요.
필수 권한
스냅샷 잠금을 사용하려면 사용자에게 다음 권한이 필요합니다.
-
ec2:LockSnapshot- 스냅샷 잠금 -
ec2:UnlockSnapshot- 스냅샷 잠금 해제 -
ec2:DescribeLockedSnapshots- 스냅샷 잠금 설정 보기
다음은 스냅샷을 잠금 및 잠금 해제하고 스냅샷 잠금 설정을 볼 수 있는 권한을 사용자에게 부여하는 IAM 정책의 예제입니다. 여기에는 콘솔 사용자에 대한 ec2:DescribeSnapshots 권한이 포함됩니다. 일부 권한이 필요하지 않은 경우 정책에서 권한을 제거할 수 있습니다.
액세스 권한을 제공하려면 사용자, 그룹 또는 역할에 권한을 추가하세요:
-
AWS IAM Identity Center의 사용자 및 그룹:
권한 세트를 생성합니다. AWS IAM Identity Center 사용 설명서의 권한 세트 생성의 지침을 따릅니다.
-
보안 인증 공급자를 통해 IAM에서 관리되는 사용자:
ID 페더레이션을 위한 역할을 생성합니다. IAM 사용 설명서의 Create a role for a third-party identity provider (federation)의 지침을 따릅니다.
-
IAM 사용자:
-
사용자가 맡을 수 있는 역할을 생성합니다. IAM 사용 설명서에서 Create a role for an IAM user의 지침을 따릅니다.
-
(권장되지 않음)정책을 사용자에게 직접 연결하거나 사용자를 사용자 그룹에 추가합니다. IAM 사용 설명서에서 사용자(콘솔)에 권한 추가의 지침을 따르세요.
-
조건 키로 액세스 제한
조건 키를 사용하여 사용자가 스냅샷을 잠그는 방법을 제한할 수 있습니다.
ec2:SnapshotLockDuration
ec2:SnapshotLockDuration 조건 키를 사용하여 스냅샷을 잠글 때 특정 잠금 기간으로 사용자를 제한할 수 있습니다.
다음 예제 정책은 사용자가 잠금 기간을 10~50일로 지정하도록 제한합니다.
ec2:CoolOffPeriod
ec2:CoolOffPeriod 조건 키를 사용하여 쿨링 오프 기간 없이 사용자가 규정 준수 모드에서 스냅샷을 잠그지 못하도록 할 수 있습니다.
다음 예제 정책은 사용자가 규정 준수 모드에서 스냅샷을 잠글 때 쿨링 오프 기간을 48 시간 이상으로 지정하도록 제한합니다.
