スナップショットを作成するためのIAMポリシーを生成するにはどうすればよいですか?

8

スナップショットを作成したいEC2インスタンスにボリュームをマウントしています。

次のポリシーで新しいIAMユーザーを作成しました。 

{
  "Statement": [
    {
      "Sid": "...",
      "Effect": "Allow",
      "Action": [
        "ec2:CreateSnapshot",
        "ec2:CreateTags",
        "ec2:DeleteSnapshot",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeSnapshots",
        "ec2:DescribeTags",
        "ec2:DescribeVolumeAttribute",
        "ec2:DescribeVolumeStatus",
        "ec2:DescribeVolumes"
      ],
      "Resource": [
        "arn:aws:ec2:eu-west-1:MY_USER_ID"
      ]
    }
  ]
}

アクセスキーとシークレットを自分に追加し、~/.bashrcそれを入手しました。実行するec2-describe-snapshotsと、次の応答が返されます。Client.UnauthorizedOperation: You are not authorized to perform this operation.

"Resource"がちょうどいたとき、私は"*"すべてのタイプのAmazonのスナップショットをリストすることができました。私は、eu-west-1リージョン内の自分だけが所有/表示できるスナップショットを作成したいと考えています。

amazon-ec2  amazon-web-services  amazon-iam 
ジュガ
ソース

回答:

7

EC2で画像を説明する権限を制限するにどうすればよいですかに賢明に投稿されているように、リソースレベルの権限はec2:Describe*アクションにまったく実装されていません。

実際には、リソースARNではなく、他のものに基づいてアクセスを制限する必要があります。

ゼリドン
ソース
1
そうですか!さて、同じポリシーでスナップショットを直接作成しようとしましたが、それでもエラーが発生しました。私は私の変更Resource*もう一度、私はスナップショットを作成することができました。スナップショットは常に自分のアカウントのプライベートとして作成されると想定できますか?
juuga 14年
デフォルトでははい。スナップショットは、公開に設定されていない限り、非公開です
zeridon
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.