归档 Amazon EBS 快照所需的 IAM 权限 - Amazon EBS
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

归档 Amazon EBS 快照所需的 IAM 权限

默认情况下,用户无权使用快照归档。要允许用户使用快照归档,您必须创建 IAM policy,以授予使用特定资源和 API 操作的权限。有关更多信息,请参阅《IAM 用户指南》中的创建 IAM policy

要使用快照归档,用户需要以下权限。

  • ec2:DescribeSnapshotTierStatus

  • ec2:ModifySnapshotTier

  • ec2:RestoreSnapshotTier

控制台用户可能还需要其他权限,例如 ec2:DescribeSnapshots

要存档和恢复加密快照,需要以下额外 Amazon KMS 权限。

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

以下是 IAM policy 示例,授予了 IAM 用户归档、恢复和查看加密及未加密快照的权限。其包括控制台用户的 ec2:DescribeSnapshots 权限。如果不需要某些上述权限,您可以从策略中将其删除。

提示

为遵循最小特权原则,请不要允许对 kms:CreateGrant 拥有完全访问权限。相反,使用kms:GrantIsForAWSResource条件密钥允许用户仅在 Amazon 服务代表用户创建授权时才允许用户在 KMS 密钥上创建授权,如以下示例所示。

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "ec2:DescribeSnapshotTierStatus",
            "ec2:ModifySnapshotTier",
            "ec2:RestoreSnapshotTier",
            "ec2:DescribeSnapshots",
            "kms:CreateGrant",
            "kms:Decrypt",
            "kms:DescribeKey"
        ],
        "Resource": "*",
        "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
    }]
}

要提供访问权限,请为您的用户、组或角色添加权限: