Wie generiere ich eine IAM-Richtlinie zum Erstellen von Snapshots?


8

Ich habe Volumes auf EC2-Instanzen gemountet, von denen ich Snapshots machen möchte.

Ich habe einen neuen IAM-Benutzer mit der folgenden Richtlinie erstellt:

{
  "Statement": [
    {
      "Sid": "...",
      "Effect": "Allow",
      "Action": [
        "ec2:CreateSnapshot",
        "ec2:CreateTags",
        "ec2:DeleteSnapshot",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeSnapshots",
        "ec2:DescribeTags",
        "ec2:DescribeVolumeAttribute",
        "ec2:DescribeVolumeStatus",
        "ec2:DescribeVolumes"
      ],
      "Resource": [
        "arn:aws:ec2:eu-west-1:MY_USER_ID"
      ]
    }
  ]
}

Ich habe den Zugangsschlüssel und das Geheimnis zu meinem hinzugefügt ~/.bashrcund es bezogen. Wenn ich renne, ec2-describe-snapshotsbekomme ich folgende Antwort:Client.UnauthorizedOperation: You are not authorized to perform this operation.

Als ich "Resource"gerade "*"war, konnte ich alle Arten von Amazon-Schnappschüssen auflisten. Ich möchte Schnappschüsse erstellen, die nur mir in der eu-west-1Region gehören.

Antworten:


7

Wie unter " Wie kann ich EC2 einschränken?" Beschreiben von Bildberechtigungen, werden Berechtigungen auf Ressourcenebene für ec2:Describe*Aktionen überhaupt nicht implementiert .

In der Realität müssen Sie den Zugriff auf andere Dinge beschränken und nicht auf die Ressourcen-ARN.


1
Aha! Nun, ich habe direkt versucht, nur einen Snapshot mit derselben Richtlinie zu erstellen, aber es ist immer noch ein Fehler aufgetreten. Ich änderte meine Resourcezu *wieder und ich konnte den Snapshot erstellen. Kann ich davon ausgehen, dass die Snapshots für mein Konto immer als privat erstellt werden?
Juuga

Standardmäßig ja. Die Schnappschüsse sind privat, sofern sie nicht auf public gesetzt sind
zeridon
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.