Wie generiere ich eine IAM-Richtlinie zum Erstellen von Snapshots?

8

Ich habe Volumes auf EC2-Instanzen gemountet, von denen ich Snapshots machen möchte.

Ich habe einen neuen IAM-Benutzer mit der folgenden Richtlinie erstellt: 

{
  "Statement": [
    {
      "Sid": "...",
      "Effect": "Allow",
      "Action": [
        "ec2:CreateSnapshot",
        "ec2:CreateTags",
        "ec2:DeleteSnapshot",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeSnapshots",
        "ec2:DescribeTags",
        "ec2:DescribeVolumeAttribute",
        "ec2:DescribeVolumeStatus",
        "ec2:DescribeVolumes"
      ],
      "Resource": [
        "arn:aws:ec2:eu-west-1:MY_USER_ID"
      ]
    }
  ]
}

Ich habe den Zugangsschlüssel und das Geheimnis zu meinem hinzugefügt ~/.bashrcund es bezogen. Wenn ich renne, ec2-describe-snapshotsbekomme ich folgende Antwort:Client.UnauthorizedOperation: You are not authorized to perform this operation.

Als ich "Resource"gerade "*"war, konnte ich alle Arten von Amazon-Schnappschüssen auflisten. Ich möchte Schnappschüsse erstellen, die nur mir in der eu-west-1Region gehören.

amazon-ec2 amazon-web-services amazon-iam Juuga
quelle

Antworten:

7

Wie unter " Wie kann ich EC2 einschränken?" Beschreiben von Bildberechtigungen, werden Berechtigungen auf Ressourcenebene für ec2:Describe*Aktionen überhaupt nicht implementiert .

In der Realität müssen Sie den Zugriff auf andere Dinge beschränken und nicht auf die Ressourcen-ARN.

Zeridon
quelle
1
Aha! Nun, ich habe direkt versucht, nur einen Snapshot mit derselben Richtlinie zu erstellen, aber es ist immer noch ein Fehler aufgetreten. Ich änderte meine Resourcezu *wieder und ich konnte den Snapshot erstellen. Kann ich davon ausgehen, dass die Snapshots für mein Konto immer als privat erstellt werden?
Juuga
Standardmäßig ja. Die Schnappschüsse sind privat, sofern sie nicht auf public gesetzt sind
zeridon