

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 控制對 Amazon EBS 快照鎖定的存取
<a name="snapshot-lock-iam"></a>

依預設，使用者沒有使用快照鎖定的許可。若要允許使用者使用快照鎖定，必須建立 IAM 政策以授予使用特定資源和 API 動作的許可。如需詳細資訊，請參閱《IAM 使用者指南》中的[建立 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。

**Topics**
+ [

## 所需的許可
](#snapshot-lock-req-perms)
+ [

## 使用條件索引鍵限制存取權限
](#snapshot-lock-condition-keys)

## 所需的許可
<a name="snapshot-lock-req-perms"></a>

若要使用快照鎖定，使用者需有下列許可。
+ `ec2:LockSnapshot`：鎖定快照。
+ `ec2:UnlockSnapshot`：解鎖快照。
+ `ec2:DescribeLockedSnapshots`：檢視快照鎖定設定。

以下 IAM 政策範例向使用者授予鎖定和解鎖快照，以及檢視快照鎖定設定的許可。其包括主控台使用者的 `ec2:DescribeSnapshots` 許可權限。若無需某些許可，則您可從政策中將其移除。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowSnapshotLockOperations",
      "Effect": "Allow",
      "Action": [
        "ec2:LockSnapshot",
        "ec2:UnlockSnapshot",
        "ec2:DescribeLockedSnapshots",
        "ec2:DescribeSnapshots"
      ],
      "Resource": [
        "arn:aws:ec2:*::snapshot/*",
        "arn:aws:ec2:*:111122223333:volume/*"
      ]
    }
  ]
}
```

------

若要提供存取權，請新增權限至您的使用者、群組或角色：
+ 中的使用者和群組 AWS IAM Identity Center：

  建立權限合集。請按照《*AWS IAM Identity Center 使用者指南*》中的[建立權限合集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)說明進行操作。
+ 透過身分提供者在 IAM 中管理的使用者：

  建立聯合身分的角色。遵循《*IAM 使用者指南*》的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。
+ IAM 使用者：
  + 建立您的使用者可擔任的角色。請按照《*IAM 使用者指南*》的[為 IAM 使用者建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。
  + (不建議) 將政策直接附加至使用者，或將使用者新增至使用者群組。請遵循《*IAM 使用者指南*》的[新增許可到使用者 (主控台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) 中的指示。

## 使用條件索引鍵限制存取權限
<a name="snapshot-lock-condition-keys"></a>

您可以使用條件索引鍵來限制允許使用者鎖定快照的方式。

**Topics**
+ [

### ec2:SnapshotLockDuration
](#snapshotlockduration)
+ [

### ec2:CoolOffPeriod
](#cooloffperiod)

### ec2:SnapshotLockDuration
<a name="snapshotlockduration"></a>

在鎖定快照時，您可以使用 `ec2:SnapshotLockDuration` 條件索引鍵限制使用者指定特定的鎖定期間。

下列範例政策限制使用者只能指定 `10` 到 `50` 天的鎖定期間。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowSnapshotLockWithDurationCondition",
      "Effect": "Allow",
      "Action": "ec2:LockSnapshot",
      "Resource": "arn:aws:ec2:*::snapshot/*",
      "Condition": {
        "NumericGreaterThan": {
          "ec2:SnapshotLockDuration": 10
        },
        "NumericLessThan": {
          "ec2:SnapshotLockDuration": 50
        }
      }
    }
  ]
}
```

------

### ec2:CoolOffPeriod
<a name="cooloffperiod"></a>

您可以使用 `ec2:CoolOffPeriod` 條件索引鍵來防止使用者以合規模式鎖定快照，而沒有冷靜期。

下列範例政策限制使用以合規模式鎖定快照時，須指定 `48` 小時以上的冷靜期。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowSnapshotLockWithCondition",
      "Effect": "Allow",
      "Action": "ec2:LockSnapshot",
      "Resource": "arn:aws:ec2:*::snapshot/*",
      "Condition": {
        "NumericGreaterThan": {
          "ec2:SnapshotTime": 48
        }
      }
    }
  ]
}
```

------