Как создать политику IAM для создания снимков?

8

У меня есть тома, смонтированные на экземплярах EC2, из которых я хотел бы сделать снимки.

Я создал нового пользователя IAM со следующей политикой:

{
  "Statement": [
    {
      "Sid": "...",
      "Effect": "Allow",
      "Action": [
        "ec2:CreateSnapshot",
        "ec2:CreateTags",
        "ec2:DeleteSnapshot",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeSnapshots",
        "ec2:DescribeTags",
        "ec2:DescribeVolumeAttribute",
        "ec2:DescribeVolumeStatus",
        "ec2:DescribeVolumes"
      ],
      "Resource": [
        "arn:aws:ec2:eu-west-1:MY_USER_ID"
      ]
    }
  ]
}

Я добавил ключ доступа и секрет к моему ~/.bashrcи поставил его. Когда я бегу, ec2-describe-snapshotsя получаю этот ответ:Client.UnauthorizedOperation: You are not authorized to perform this operation.

Когда я "Resource"только был, "*"я был в состоянии перечислить все типы снимков Амазонки. Я хочу создать снимки, принадлежащие / видимые только мне в eu-west-1регионе.

juuga
источник

Ответы:

7

Как мудро размещено в разделе Как я могу ограничить EC2 описания разрешений на изображения, разрешения на уровне ресурсов вообще не реализованы в ec2:Describe*действиях.

В реальности вам нужно ограничить доступ исходя из других вещей, а не из ресурса ARN.

zeridon
источник
1
Я вижу! Я попытался создать снимок с той же политикой, но все равно обнаружил ошибку. Я изменил свой Resourceна *снова, и я смог создать снимок. Могу ли я предположить, что снимки всегда будут создаваться как личные для моей учетной записи?
июля
По умолчанию да.
Снимки