Wie generiere ich eine IAM-Richtlinie zum Erstellen von Snapshots?

Ich habe Volumes auf EC2-Instanzen gemountet, von denen ich Snapshots machen möchte.

Ich habe einen neuen IAM-Benutzer mit der folgenden Richtlinie erstellt:

{
  "Statement": [
    {
      "Sid": "...",
      "Effect": "Allow",
      "Action": [
        "ec2:CreateSnapshot",
        "ec2:CreateTags",
        "ec2:DeleteSnapshot",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeSnapshots",
        "ec2:DescribeTags",
        "ec2:DescribeVolumeAttribute",
        "ec2:DescribeVolumeStatus",
        "ec2:DescribeVolumes"
      ],
      "Resource": [
        "arn:aws:ec2:eu-west-1:MY_USER_ID"
      ]
    }
  ]
}

Ich habe den Zugangsschlüssel und das Geheimnis zu meinem hinzugefügt ~/.bashrcund es bezogen. Wenn ich renne, ec2-describe-snapshotsbekomme ich folgende Antwort:Client.UnauthorizedOperation: You are not authorized to perform this operation.

Als ich "Resource"gerade "*"war, konnte ich alle Arten von Amazon-Schnappschüssen auflisten. Ich möchte Schnappschüsse erstellen, die nur mir in der eu-west-1Region gehören.

amazon-ec2 amazon-web-services amazon-iam

— Juuga
quelle

Wie unter " Wie kann ich EC2 einschränken?" Beschreiben von Bildberechtigungen, werden Berechtigungen auf Ressourcenebene für ec2:Describe*Aktionen überhaupt nicht implementiert .

In der Realität müssen Sie den Zugriff auf andere Dinge beschränken und nicht auf die Ressourcen-ARN.

— Zeridon
quelle

Aha! Nun, ich habe direkt versucht, nur einen Snapshot mit derselben Richtlinie zu erstellen, aber es ist immer noch ein Fehler aufgetreten. Ich änderte meine Resourcezu *wieder und ich konnte den Snapshot erstellen. Kann ich davon ausgehen, dass die Snapshots für mein Konto immer als privat erstellt werden?

— Juuga

Standardmäßig ja. Die Schnappschüsse sind privat, sofern sie nicht auf public gesetzt sind

— zeridon