本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 归档 Amazon EBS 快照所需的 IAM 权限 默认情况下,用户无权使用快照归档。要允许用户使用快照归档,您必须创建 IAM policy,以授予使用特定资源和 API 操作的权限。有关更多信息,请参阅《IAM 用户指南》中的[创建 IAM policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。 要使用快照归档,用户需要以下权限。 + `ec2:DescribeSnapshotTierStatus` + `ec2:ModifySnapshotTier` + `ec2:RestoreSnapshotTier` 控制台用户可能还需要其他权限,例如 `ec2:DescribeSnapshots`。 要存档和恢复加密快照,需要以下额外 AWS KMS 权限。 + `kms:CreateGrant` + `kms:Decrypt` + `kms:DescribeKey` 以下是 IAM policy 示例,授予了 IAM 用户归档、恢复和查看加密及未加密快照的权限。其包括控制台用户的 `ec2:DescribeSnapshots` 权限。如果不需要某些上述权限,您可以从策略中将其删除。 **提示** 为遵循最小特权原则,请不要允许对 `kms:CreateGrant` 拥有完全访问权限。相反,使用`kms:GrantIsForAWSResource`条件密钥允许用户仅在 AWS 服务代表用户创建授权时才允许用户在 KMS 密钥上创建授权,如以下示例所示。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeSnapshotTierStatus", "ec2:ModifySnapshotTier", "ec2:RestoreSnapshotTier", "ec2:DescribeSnapshots", "kms:CreateGrant", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } }] } ``` ------ 要提供访问权限,请为您的用户、组或角色添加权限: + 中的用户和群组 AWS IAM Identity Center: 创建权限集合。按照《AWS IAM Identity Center 用户指南》**中[创建权限集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)的说明进行操作。 + 通过身份提供者在 IAM 中托管的用户: 创建适用于身份联合验证的角色。按照《IAM 用户指南》**中[针对第三方身份提供者创建角色(联合身份验证)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)的说明进行操作。 + IAM 用户: + 创建您的用户可以担任的角色。按照《IAM 用户指南》**中[为 IAM 用户创建角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)的说明进行操作。 + (不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》**中[向用户添加权限(控制台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的说明进行操作。