归档 Amazon EBS 快照所需的 IAM 权限 - Amazon EBS
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

归档 Amazon EBS 快照所需的 IAM 权限

默认情况下,用户无权使用快照归档。要允许用户使用快照归档,您必须创建 IAM policy,以授予使用特定资源和 API 操作的权限。有关更多信息,请参阅《IAM 用户指南》中的创建 IAM policy

要使用快照归档,用户需要以下权限。

  • ec2:DescribeSnapshotTierStatus

  • ec2:ModifySnapshotTier

  • ec2:RestoreSnapshotTier

控制台用户可能还需要其他权限,例如 ec2:DescribeSnapshots

要归档和恢复加密快照,需要以下 Amazon KMS 额外权限。

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

以下是 IAM policy 示例,授予了 IAM 用户归档、恢复和查看加密及未加密快照的权限。其包括控制台用户的 ec2:DescribeSnapshots 权限。如果不需要某些上述权限,您可以从策略中将其删除。

提示

为遵循最小特权原则,请不要允许对 kms:CreateGrant 拥有完全访问权限。而是仅当 Amazon 服务代表用户创建授权时,才使用 kms:GrantIsForAWSResource 条件键以允许用户在 KMS 密钥上创建授权,如以下示例所示。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "ec2:DescribeSnapshotTierStatus",
            "ec2:ModifySnapshotTier",
            "ec2:RestoreSnapshotTier",
            "ec2:DescribeSnapshots",
            "kms:CreateGrant",
            "kms:Decrypt",
            "kms:DescribeKey"
        ],
        "Resource": "*",
        "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
    }]
}

要提供访问权限,请为您的用户、组或角色添加权限: