Controle o acesso direto ao EBS APIs usando o IAM - Amazon EBS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controle o acesso direto ao EBS APIs usando o IAM

Um usuário deve ter as seguintes políticas para usar o EBS direct APIs. Para obter mais informações, consulte Alterar permissões para um usuário.

Para obter mais informações sobre os APIs recursos diretos, ações e chaves de contexto de condição do EBS para uso nas políticas de permissão do IAM, consulte Ações, recursos e chaves de condição para o Amazon Elastic Block Store na Referência de Autorização de Serviço.

Importante

Tenha cuidado ao atribuir as seguintes políticas aos usuários do . Ao atribuir essas políticas, você pode conceder acesso a um usuário a quem foi negado o acesso ao mesmo recurso pela Amazon EC2 APIs, como as CreateVolume ações CopySnapshot ou.

A política a seguir permite que a leitura direta APIs do EBS seja usada em todos os snapshots em uma região específica AWS . Na política, <Region> substitua pela região do instantâneo.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ebs:ListSnapshotBlocks",
                "ebs:ListChangedBlocks",
                "ebs:GetSnapshotBlock"
            ],
            "Resource": "arn:aws:ec2:<Region>::snapshot/*"
        }
    ]
}

A política a seguir permite que a leitura direta APIs do EBS seja usada em snapshots com uma tag de valor-chave específica. Na política, <Key> substitua pelo valor da chave da tag e <Value> pelo valor da tag.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ebs:ListSnapshotBlocks",
                "ebs:ListChangedBlocks",
                "ebs:GetSnapshotBlock"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "aws:ResourceTag/<Key>": "<Value>"
                }
            }
        }
    ]
}

A política a seguir permite que toda a leitura direta APIs do EBS seja usada em todos os snapshots da conta somente dentro de um intervalo de tempo específico. Essa política autoriza o uso direto do EBS APIs com base na chave de condição aws:CurrentTime global. Na política, substitua o intervalo de data e hora mostrado pelo intervalo de data e hora da sua política.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ebs:ListSnapshotBlocks",
                "ebs:ListChangedBlocks",
                "ebs:GetSnapshotBlock"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*",
            "Condition": {
                "DateGreaterThan": {
                    "aws:CurrentTime": "2018-05-29T00:00:00Z"
                },
                "DateLessThan": {
                    "aws:CurrentTime": "2020-05-29T23:59:59Z"
                }
            }
        }
    ]
}

Para obter mais informações, consulte Alteração de permissões para um usuário no Guia do usuário do IAM.

A política a seguir permite que a gravação direta APIs do EBS seja usada em todos os snapshots em uma região específica AWS . Na política, <Region> substitua pela região do instantâneo.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ebs:StartSnapshot",
                "ebs:PutSnapshotBlock",
                "ebs:CompleteSnapshot"
            ],
            "Resource": "arn:aws:ec2:<Region>::snapshot/*"
        }
    ]
}

A política a seguir permite que a gravação direta APIs do EBS seja usada em snapshots com uma tag de valor-chave específica. Na política, <Key> substitua pelo valor da chave da tag e <Value> pelo valor da tag.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ebs:StartSnapshot",
                "ebs:PutSnapshotBlock",
                "ebs:CompleteSnapshot"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "aws:ResourceTag/<Key>": "<Value>"
                }
            }
        }
    ]
}

A política a seguir permite que todo o EBS Direct APIs seja usado. Ela também permite a ação StartSnapshot somente se um ID de snapshot pai for especificado. Portanto, essa política bloqueia a capacidade de iniciar novos snapshots sem o uso de um snapshot pai.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ebs:*", 
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ebs:ParentSnapshot": "arn:aws:ec2:*::snapshot/*"
                }
            }
        }
    ]
}

A política a seguir permite que todo o EBS Direct APIs seja usado. Ela também permite que apenas a chave de tag user seja criada para um novo snapshot. Essa política também garante que o usuário tenha acesso à criação de tags. A ação StartSnapshot é a única ação que pode especificar tags.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ebs:*", 
            "Resource": "*",
            "Condition": {
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "user"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "*"
        }
    ]
}

A política a seguir permite que toda a gravação direta APIs do EBS seja usada em todos os snapshots da conta somente dentro de um intervalo de tempo específico. Essa política autoriza o uso direto do EBS APIs com base na chave de condição aws:CurrentTime global. Na política, substitua o intervalo de data e hora mostrado pelo intervalo de data e hora da sua política.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ebs:StartSnapshot",
                "ebs:PutSnapshotBlock",
                "ebs:CompleteSnapshot"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*",
            "Condition": {
                "DateGreaterThan": {
                    "aws:CurrentTime": "2018-05-29T00:00:00Z"
                },
                "DateLessThan": {
                    "aws:CurrentTime": "2020-05-29T23:59:59Z"
                }
            }
        }
    ]
}

Para obter mais informações, consulte Alteração de permissões para um usuário no Guia do usuário do IAM.

A política a seguir concede permissão para descriptografar um snapshot criptografado usando uma chave do KMS específica. Ela também concede permissão para criptografar novos snapshots usando a chave padrão do KMS para criptografia do EBS. Na política, <Region> substitua pela Região da chave KMS, <AccountId> pela ID da AWS conta da chave KMS e <KeyId> pela ID da chave KMS.

nota

Por padrão, todos os diretores da conta têm acesso à chave KMS AWS gerenciada padrão para a criptografia do Amazon EBS e podem usá-la para operações de criptografia e descriptografia do EBS. Se você estiver usando uma chave gerenciada pelo cliente, deverá criar uma nova política de chaves ou modificar a política de chaves existente para a chave gerenciada pelo cliente para conceder ao principal acesso à chave gerenciada pelo cliente. Para obter mais informações, consulte Políticas de chaves no AWS KMS no Guia do desenvolvedor do AWS Key Management Service .

dica

Para seguir o princípio de menor privilégio, não permita acesso total a kms:CreateGrant. Em vez disso, use a chave de kms:GrantIsForAWSResource condição para permitir que o usuário crie concessões na chave KMS somente quando a concessão for criada em nome do usuário por um AWS serviço, conforme mostrado no exemplo a seguir.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:GenerateDataKeyWithoutPlaintext",
                "kms:ReEncrypt*",
                "kms:CreateGrant",
                "ec2:CreateTags",
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:<Region>:<AccountId>:key/<KeyId>",
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}

Para obter mais informações, consulte Alteração de permissões para um usuário no Guia do usuário do IAM.