所需的 IAM 权限

默认情况下，用户无权使用快照归档。要允许用户使用快照归档，您必须创建 IAM policy，以授予使用特定资源和 API 操作的权限。有关更多信息，请参阅《IAM 用户指南》中的创建 IAM policy。

要使用快照归档，用户需要以下权限。

ec2:DescribeSnapshotTierStatus
ec2:ModifySnapshotTier
ec2:RestoreSnapshotTier

控制台用户可能还需要其他权限，例如 ec2:DescribeSnapshots。

要归档和恢复加密快照，需要以下 Amazon KMS 额外权限。

kms:CreateGrant
kms:Decrypt
kms:DescribeKey

以下是 IAM policy 示例，授予了 IAM 用户归档、恢复和查看加密及未加密快照的权限。其包括控制台用户的 ec2:DescribeSnapshots 权限。如果不需要某些上述权限，您可以从策略中将其删除。

提示

为遵循最小特权原则，请不要允许对 kms:CreateGrant 拥有完全访问权限。而是仅当 Amazon 服务代表用户创建授权时，才使用 kms:GrantIsForAWSResource 条件键以允许用户在 KMS 密钥上创建授权，如以下示例所示。


{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "ec2:DescribeSnapshotTierStatus",
            "ec2:ModifySnapshotTier",
            "ec2:RestoreSnapshotTier",
            "ec2:DescribeSnapshots",
            "kms:CreateGrant",
            "kms:Decrypt",
            "kms:DescribeKey"
        ],
        "Resource": "*",
        "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
    }]
}

要提供访问权限，请为您的用户、组或角色添加权限：

通过身份提供商在 IAM 中托管的用户：

创建适用于身份联合验证的角色。按照《IAM 用户指南》中为第三方身份提供商创建角色（联合身份验证）的说明进行操作。
IAM 用户：
- 创建您的用户可以代入的角色。按照《IAM 用户指南》中为 IAM 用户创建角色的说明进行操作。
- （不推荐使用）将策略直接附加到用户或将用户添加到用户群组。按照《IAM 用户指南》中向用户添加权限（控制台）中的说明进行操作。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

归档快照的准则和最佳做法

使用快照归档