As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Controle o acesso direto ao EBS APIs usando o IAM
Um usuário deve ter as seguintes políticas para usar o EBS direct APIs. Para obter mais informações, consulte [Alterar permissões para um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html).
Para obter mais informações sobre os APIs recursos diretos, ações e chaves de contexto de condição do EBS para uso nas políticas de permissão do IAM, consulte [Ações, recursos e chaves de condição para o Amazon Elastic Block Store](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticblockstore.html) na *Referência de Autorização de Serviço*.
**Importante**
Tenha cuidado ao atribuir as seguintes políticas aos usuários do . Ao atribuir essas políticas, você pode conceder acesso a um usuário a quem é negado o acesso ao mesmo recurso por meio do Amazon APIs EC2, como CopySnapshot as CreateVolume ações ou.
## Permissões para ler snapshots
A política a seguir permite que a *leitura* direta APIs do EBS seja usada em todos os snapshots em uma região específica AWS . Na política, ** substitua pela região do instantâneo.
A política a seguir permite que a *leitura* direta APIs do EBS seja usada em snapshots com uma tag de valor-chave específica. Na política, ** substitua pelo valor da chave da tag e ** pelo valor da tag.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:ListChangedBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"StringEqualsIgnoreCase": {
"aws:ResourceTag/": ""
}
}
}
]
}
```
------
A política a seguir permite que toda a *leitura* direta APIs do EBS seja usada em todos os snapshots da conta somente dentro de um intervalo de tempo específico. Essa política autoriza o uso direto do EBS APIs com base na chave de condição `aws:CurrentTime` global. Na política, substitua o intervalo de data e hora mostrado pelo intervalo de data e hora da sua política.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:ListChangedBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"DateGreaterThan": {
"aws:CurrentTime": "2018-05-29T00:00:00Z"
},
"DateLessThan": {
"aws:CurrentTime": "2020-05-29T23:59:59Z"
}
}
}
]
}
```
------
Para obter mais informações, consulte [Alteração de permissões para um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) no *Guia do usuário do IAM*.
## Permissões para gravar snapshots
A política a seguir permite que a *gravação* direta APIs do EBS seja usada em todos os snapshots em uma região específica AWS . Na política, ** substitua pela região do instantâneo.
A política a seguir permite que a *gravação* direta APIs do EBS seja usada em snapshots com uma tag de valor-chave específica. Na política, ** substitua pelo valor da chave da tag e ** pelo valor da tag.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ebs:StartSnapshot",
"ebs:PutSnapshotBlock",
"ebs:CompleteSnapshot"
],
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"StringEqualsIgnoreCase": {
"aws:ResourceTag/": ""
}
}
}
]
}
```
------
A política a seguir permite que todo o EBS Direct APIs seja usado. Ela também permite a ação `StartSnapshot` somente se um ID de snapshot pai for especificado. Portanto, essa política bloqueia a capacidade de iniciar novos snapshots sem o uso de um snapshot pai.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ebs:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"ebs:ParentSnapshot": "arn:aws:ec2:*::snapshot/*"
}
}
}
]
}
```
------
A política a seguir permite que todo o EBS Direct APIs seja usado. Ela também permite que apenas a chave de tag `user` seja criada para um novo snapshot. Essa política também garante que o usuário tenha acesso à criação de tags. A ação `StartSnapshot` é a única ação que pode especificar tags.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ebs:*",
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": "user"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "*"
}
]
}
```
------
A política a seguir permite que toda a *gravação* direta APIs do EBS seja usada em todos os snapshots da conta somente dentro de um intervalo de tempo específico. Essa política autoriza o uso direto do EBS APIs com base na chave de condição `aws:CurrentTime` global. Na política, substitua o intervalo de data e hora mostrado pelo intervalo de data e hora da sua política.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ebs:StartSnapshot",
"ebs:PutSnapshotBlock",
"ebs:CompleteSnapshot"
],
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"DateGreaterThan": {
"aws:CurrentTime": "2018-05-29T00:00:00Z"
},
"DateLessThan": {
"aws:CurrentTime": "2020-05-29T23:59:59Z"
}
}
}
]
}
```
------
Para obter mais informações, consulte [Alteração de permissões para um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) no *Guia do usuário do IAM*.
## Permissões de uso AWS KMS keys
A política a seguir concede permissão para descriptografar um snapshot criptografado usando uma chave do KMS específica. Ela também concede permissão para criptografar novos snapshots usando a chave padrão do KMS para criptografia do EBS. Na política, ** substitua pela Região da chave KMS, ** pela ID da AWS conta da chave KMS e ** pela ID da chave KMS.
**nota**
Por padrão, todos os diretores da conta têm acesso à chave KMS AWS gerenciada padrão para a criptografia do Amazon EBS e podem usá-la para operações de criptografia e descriptografia do EBS. Se você estiver usando uma chave gerenciada pelo cliente, deverá criar uma nova política de chaves ou modificar a política de chaves existente para a chave gerenciada pelo cliente para conceder ao principal acesso à chave gerenciada pelo cliente. Para obter mais informações, consulte [Políticas de chaves no AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) no *Guia do desenvolvedor do AWS Key Management Service *.
**dica**
Para seguir o princípio de menor privilégio, não permita acesso total a `kms:CreateGrant`. Em vez disso, use a chave de `kms:GrantIsForAWSResource` condição para permitir que o usuário crie concessões na chave KMS somente quando a concessão for criada em nome do usuário por um AWS serviço, conforme mostrado no exemplo a seguir.
Para obter mais informações, consulte [Alteração de permissões para um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) no *Guia do usuário do IAM*.