本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Amazon EBS 的 IAM 策略示例
默认情况下,用户和角色没有创建或修改 Amazon EBS 资源的权限。他们也无法使用 AWS 管理控制台、 AWS Command Line Interface (AWS CLI) 或 AWS API 执行任务。要授予用户对所需资源执行操作的权限,IAM 管理员可以创建 IAM 策略。管理员随后可以向角色添加 IAM 策略,用户可以代入角色。
要了解如何使用这些示例 JSON 策略文档创建基于 IAM 身份的策略,请参阅 *IAM 用户指南*中的 [创建 IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
**Topics**
+ [策略最佳实践](#security_iam_service-with-iam-policy-best-practices)
+ [允许用户使用 Amazon EBS 控制台](#security_iam_id-based-policy-examples-console)
+ [允许用户查看他们自己的权限](#security_iam_id-based-policy-examples-view-own-permissions)
+ [允许用户使用卷](#iam-example-manage-volumes)
+ [允许用户使用快照](#iam-example-manage-snapshots)
## 策略最佳实践
基于身份的策略确定某个人是否可以创建、访问或删除您账户中的 Amazon EBS 资源。这些操作可能会使 AWS 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议:
+ **开始使用 AWS 托管策略并转向最低权限权限** — 要开始向用户和工作负载授予权限,请使用为许多常见用例授予权限的*AWS 托管策略*。它们在你的版本中可用 AWS 账户。我们建议您通过定义针对您的用例的 AWS 客户托管策略来进一步减少权限。有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[工作职能的AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **应用最低权限**:在使用 IAM 策略设置权限时,请仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为*最低权限许可*。有关使用 IAM 应用权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 策略中的条件进一步限制访问权限**:您可以向策略添加条件来限制对操作和资源的访问。例如,您可以编写策略条件来指定必须使用 SSL 发送所有请求。如果服务操作是通过特定 AWS 服务的(例如)使用的,则也可以使用条件来授予对服务操作的访问权限 CloudFormation。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 验证您的 IAM 策略,以确保权限的安全性和功能性**:IAM Access Analyzer 会验证新策略和现有策略,以确保策略符合 IAM 策略语言(JSON)和 IAM 最佳实践。IAM Access Analyzer 提供 100 多项策略检查和可操作的建议,以帮助您制定安全且功能性强的策略。有关更多信息,请参阅《IAM 用户指南》**中的[使用 IAM Access Analyzer 验证策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重身份验证 (MFA**)-如果 AWS 账户您的场景需要 IAM 用户或根用户,请启用 MFA 以提高安全性。若要在调用 API 操作时需要 MFA,请将 MFA 条件添加到您的策略中。有关更多信息,请参阅《IAM 用户指南》**中的[使用 MFA 保护 API 访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
有关 IAM 中的最佳实操的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 允许用户使用 Amazon EBS 控制台
要访问 Amazon Elastic Block Store 控制台,您必须具有一组最低权限。这些权限必须允许您列出和查看有关您 AWS 账户的 Amazon EBS 资源的详细信息。如果创建比必需的最低权限更为严格的基于身份的策略,对于附加了该策略的实体(用户或角色),控制台将无法按预期正常运行。
对于仅调用 AWS CLI 或 AWS API 的用户,您无需为其设置最低控制台权限。相反,只允许访问与其尝试执行的 API 操作相匹配的操作。
为确保用户和角色仍然可以使用 Amazon EBS 控制台,还需要将亚马逊 EBS `ConsoleAccess` 或`ReadOnly` AWS 托管策略附加到实体。有关更多信息,请参阅《IAM 用户指南》**中的[为用户添加权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)。
## 允许用户查看他们自己的权限
该示例说明了您如何创建策略,以允许 IAM 用户查看附加到其用户身份的内联和托管式策略。此策略包括在控制台上或使用 AWS CLI 或 AWS API 以编程方式完成此操作的权限。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## 允许用户使用卷
**Topics**
+ [示例:附加和分离卷](#iam-example-manage-volumes-attach-detach)
+ [示例:创建卷](#iam-example-manage-volumes-create)
+ [示例:创建带有标签的卷](#iam-example-manage-volumes-tags)
+ [示例:通过 Amazon EC2 控制台使用卷](#ex-volumes)
### 示例:附加和分离卷
在 API 操作需要发起人指定多种资源时,您必须创建一个策略语句,允许用户访问所需的所有资源。如果使用 `Condition` 元素时需要其中一种或多种资源,则必须创建多个语句,如本示例所示。
以下策略允许用户将带有 “`volume_user`= *iam-user-name*” 标签的卷连接到带有 `department=dev` “” 标签的实例,并将这些卷与这些实例分离。如果您将此策略添加到 IAM 组,`aws:username` 策略变量将授权组中的每位用户向具有 `volume_user` 标签(将用户的用户名作为值)的实例挂载卷,或从那些实例分离这些卷。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": "arn:aws:ec2:us-east-1:111122223333:instance/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/department": "dev"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": "arn:aws:ec2:us-east-1:111122223333:volume/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/volume_user": "${aws:username}"
}
}
}
]
}
```
------
### 示例:创建卷
以下策略允许用户使用 [CreateVolume](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVolume.html)API 操作。系统只允许用户创建加密且大小不足 20 GiB 的卷。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateVolume"
],
"Resource": "arn:aws:ec2:us-east-1:111122223333:volume/*",
"Condition": {
"NumericLessThan": {
"ec2:VolumeSize": "20"
},
"Bool": {
"ec2:Encrypted": "true"
}
}
}
]
}
```
------
### 示例:创建带有标签的卷
下面的策略包含 `aws:RequestTag` 条件键,该条件键要求用户标记其使用标签 `costcenter=115` 和 `stack=prod` 创建的任何卷。如果用户不传递这些特定标签,或者根本不指定任何标签,则请求失败。
对于应用标签的资源创建操作,用户还必须具有使用 `CreateTags` 操作的权限。第二个语句使用 `ec2:CreateAction` 条件键使用户只能在 `CreateVolume` 上下文中创建标签。用户无法标记现有卷或任何其他资源。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateTaggedVolumes",
"Effect": "Allow",
"Action": "ec2:CreateVolume",
"Resource": "arn:aws:ec2:us-east-1:111122223333:volume/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/costcenter": "115",
"aws:RequestTag/stack": "prod"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:us-east-1:111122223333:volume/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateVolume"
}
}
}
]
}
```
------
下面的策略允许用户创建卷而无需指定标签。仅当用户在 `CreateTags` 请求中指定了标签时,系统才会评估 `CreateVolume` 操作。如果用户指定了标签,则标签必须为 `purpose=test`。请求中不允许使用任何其他标签。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateVolume",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:us-east-1:111122223333:volume/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/purpose": "test",
"ec2:CreateAction": "CreateVolume"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "purpose"
}
}
}
]
}
```
------
### 示例:通过 Amazon EC2 控制台使用卷
以下策略为用户授予通过 Amazon EC2 控制台查看和创建卷以及将卷挂载到特定实例和与之分离的权限。
用户可以将任何卷附加到具有标签“`purpose=test`”的实例,也可以从这些实例分离卷。要使用 Amazon EC2 控制台连接卷,用户有权使用 `ec2:DescribeInstances` 操作会很有帮助,因为这可以让他们从**附加卷**对话框的预填充列表中选择实例。但是,这也会允许用户在控制台的 **Instances** 页面上查看所有实例,因此,您可以省略此操作。
在第一条语句中,需要 `ec2:DescribeAvailabilityZones` 操作以确保用户可以在创建卷时选择可用区。
用户无法标记其创建的卷(卷创建期间或之后)。
## 允许用户使用快照
以下是(EBS 卷的point-in-time快照)和 `CreateSnapshot``CreateSnapshots`(多卷快照)的策略示例。
**Topics**
+ [示例:创建快照](#iam-creating-snapshot)
+ [示例:创建快照](#iam-creating-snapshots)
+ [示例:创建具有标签的快照](#iam-creating-snapshot-with-tags)
+ [示例:创建带有标签的多卷快照](#iam-creating-snapshots-with-tags)
+ [示例:复制快照](#iam-copy-snapshot)
+ [示例:修改快照的权限设置](#iam-modifying-snapshot-with-tags)
### 示例:创建快照
以下政策允许客户使用 [CreateSnapshot](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSnapshot.html)API 操作。仅当卷已加密并且卷大小不超过 20 GiB 时,客户才能创建快照。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateSnapshot",
"Resource": "arn:aws:ec2:us-east-1::snapshot/*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateSnapshot",
"Resource": "arn:aws:ec2:us-east-1:111122223333:volume/*",
"Condition": {
"NumericLessThan": {
"ec2:VolumeSize": "20"
},
"Bool": {
"ec2:Encrypted": "true"
}
}
}
]
}
```
------
### 示例:创建快照
以下政策允许客户使用 [CreateSnapshots](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSnapshots.html)API 操作。只有当实例上的所有卷均为类型时,客户才能创建快照 GP2。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":"ec2:CreateSnapshots",
"Resource":[
"arn:aws:ec2:us-east-1::snapshot/*",
"arn:aws:ec2:*:*:instance/*"
]
},
{
"Effect":"Allow",
"Action":"ec2:CreateSnapshots",
"Resource":"arn:aws:ec2:us-east-1:*:volume/*",
"Condition":{
"StringLikeIfExists":{
"ec2:VolumeType":"gp2"
}
}
}
]
}
```
------
### 示例:创建具有标签的快照
下面的策略包含 `aws:RequestTag` 条件键,该条件键要求客户将标签 `costcenter=115` 和 `stack=prod` 应用于任何新快照。如果用户不传递这些特定标签,或者根本不指定任何标签,则请求失败。
对于应用标签的资源创建操作,客户还必须具有使用 `CreateTags` 操作的权限。第三个语句使用 `ec2:CreateAction` 条件键使客户只能在 `CreateSnapshot` 上下文中创建标签。客户无法标记现有卷或任何其他资源。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateSnapshot",
"Resource": "arn:aws:ec2:us-east-1:111122223333:volume/*"
},
{
"Sid": "AllowCreateTaggedSnapshots",
"Effect": "Allow",
"Action": "ec2:CreateSnapshot",
"Resource": "arn:aws:ec2:us-east-1::snapshot/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/costcenter": "115",
"aws:RequestTag/stack": "prod"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:us-east-1::snapshot/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateSnapshot"
}
}
}
]
}
```
------
### 示例:创建带有标签的多卷快照
下面的策略包含 `aws:RequestTag` 条件键,该条件键要求客户在创建多卷快照集时应用标签 `costcenter=115` 和 `stack=prod`。如果用户不传递这些特定标签,或者根本不指定任何标签,则请求失败。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":"ec2:CreateSnapshots",
"Resource":[
"arn:aws:ec2:us-east-1::snapshot/*",
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*"
]
},
{
"Sid":"AllowCreateTaggedSnapshots",
"Effect":"Allow",
"Action":"ec2:CreateSnapshots",
"Resource":"arn:aws:ec2:us-east-1::snapshot/*",
"Condition":{
"StringEquals":{
"aws:RequestTag/costcenter":"115",
"aws:RequestTag/stack":"prod"
}
}
},
{
"Effect":"Allow",
"Action":"ec2:CreateTags",
"Resource":"arn:aws:ec2:us-east-1::snapshot/*",
"Condition":{
"StringEquals":{
"ec2:CreateAction":"CreateSnapshots"
}
}
}
]
}
```
------
下面的策略允许客户创建快照而无需指定标签。仅在 `CreateTags` 或 `CreateSnapshot` 请求中指定标签的情况下,系统才会评估 `CreateSnapshots` 操作。可以在请求中省略标签。如果指定一个标签,则该标签必须是 `purpose=test`。请求中不允许使用任何其他标签。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":"ec2:CreateSnapshot",
"Resource":"*"
},
{
"Effect":"Allow",
"Action":"ec2:CreateTags",
"Resource":"arn:aws:ec2:us-east-1::snapshot/*",
"Condition":{
"StringEquals":{
"aws:RequestTag/purpose":"test",
"ec2:CreateAction":"CreateSnapshot"
},
"ForAllValues:StringEquals":{
"aws:TagKeys":"purpose"
}
}
}
]
}
```
------
下面的策略允许客户创建多卷快照集而无需指定标签。仅在 `CreateTags` 或 `CreateSnapshot` 请求中指定标签的情况下,系统才会评估 `CreateSnapshots` 操作。可以在请求中省略标签。如果指定一个标签,则该标签必须是 `purpose=test`。请求中不允许使用任何其他标签。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":"ec2:CreateSnapshots",
"Resource":"*"
},
{
"Effect":"Allow",
"Action":"ec2:CreateTags",
"Resource":"arn:aws:ec2:us-east-1::snapshot/*",
"Condition":{
"StringEquals":{
"aws:RequestTag/purpose":"test",
"ec2:CreateAction":"CreateSnapshots"
},
"ForAllValues:StringEquals":{
"aws:TagKeys":"purpose"
}
}
}
]
}
```
------
以下策略仅允许在以下情况下创建快照:源卷已使用客户的 `User:username` 进行标记,并且快照本身已使用 `Environment:Dev` 和 `User:username` 进行标记。客户可向快照添加其他标签。
`CreateSnapshots` 的以下策略仅允许在以下情况下创建快照:源卷已使用客户的 `User:username` 进行标记,并且快照本身已使用 `Environment:Dev` 和 `User:username` 进行标记。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateSnapshots",
"Resource": "arn:aws:ec2:us-east-1:*:instance/*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateSnapshots",
"Resource": "arn:aws:ec2:us-east-1:111122223333:volume/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/User": "${aws:username}"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateSnapshots",
"Resource": "arn:aws:ec2:us-east-1::snapshot/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Environment": "Dev",
"aws:RequestTag/User": "${aws:username}"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:us-east-1::snapshot/*"
}
]
}
```
------
以下策略仅允许在以下情况下删除快照:快照已使用客户的 User:*username* 进行标记。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":"ec2:DeleteSnapshot",
"Resource":"arn:aws:ec2:us-east-1::snapshot/*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/User":"${aws:username}"
}
}
}
]
}
```
------
以下策略允许客户创建快照,但在要创建的快照具有标签键 `value=stack` 时拒绝操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":[
"ec2:CreateSnapshot",
"ec2:CreateTags"
],
"Resource":"*"
},
{
"Effect":"Deny",
"Action":"ec2:CreateSnapshot",
"Resource":"arn:aws:ec2:us-east-1::snapshot/*",
"Condition":{
"ForAnyValue:StringEquals":{
"aws:TagKeys":"stack"
}
}
}
]
}
```
------
以下策略允许客户创建快照,但在要创建的快照具有标签键 `value=stack` 时拒绝操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":[
"ec2:CreateSnapshots",
"ec2:CreateTags"
],
"Resource":"*"
},
{
"Effect":"Deny",
"Action":"ec2:CreateSnapshots",
"Resource":"arn:aws:ec2:us-east-1::snapshot/*",
"Condition":{
"ForAnyValue:StringEquals":{
"aws:TagKeys":"stack"
}
}
}
]
}
```
------
以下策略允许您将多个操作整合到单个策略中。您只能在快照在区域 `us-east-1` 中创建时创建快照(在 `CreateSnapshots` 的上下文稿中)。您只能在快照正在区域 `CreateSnapshots` 中创建时且实例类型为 `us-east-1` 时创建快照(在 `t2*` 的上下文中)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":[
"ec2:CreateSnapshots",
"ec2:CreateSnapshot",
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:snapshot/*",
"arn:aws:ec2:*:*:volume/*"
],
"Condition":{
"StringEqualsIgnoreCase": {
"ec2:Region": "us-east-1"
},
"StringLikeIfExists": {
"ec2:InstanceType": ["t2.*"]
}
}
}
]
}
```
------
### 示例:复制快照
为**CopySnapshot**操作指定的资源级权限适用于新快照和源快照。
只有在使用标签键 `purpose` 和标签值 `production`(`purpose=production`)创建新快照时,以下示例策略才允许委托人复制快照。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCopySnapshotWithTags",
"Effect": "Allow",
"Action": "ec2:CopySnapshot",
"Resource": "arn:aws:ec2:*:111122223333:snapshot/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/purpose": "production"
}
}
}
]
}
```
------
以下示例策略仅在源快照归 AWS 账户`123456789012`所有时才允许委托人复制快照。
只有当使用标签键 `CSISnapshotName` 创建元快照时,以下示例策略才允许主体复制快照。
```
{
"Effect": "Allow",
"Action": "ec2:CopySnapshot",
"Resource": "arn:aws:ec2:*::snapshot/${*}",
"Condition": {
"StringLike": {
"aws:RequestTag/CSISnapshotName": "*"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CopySnapshot",
"Resource": "arn:aws:ec2:*::snapshot/snap-*"
}
```
### 示例:修改快照的权限设置
以下策略仅在快照标有(其中*username*是客户的 AWS 账户用户名)时才允许修改快照。`User:username`如果未满足此条件,则请求将失败。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":"ec2:ModifySnapshotAttribute",
"Resource":"arn:aws:ec2:us-east-1::snapshot/*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/user-name":"${aws:username}"
}
}
}
]
}
```
------