스냅 샷을 만들기위한 IAM 정책을 어떻게 생성합니까?


8

스냅 샷을 만들려는 EC2 인스턴스에 볼륨을 마운트했습니다.

다음 정책으로 새 IAM 사용자를 생성했습니다.

{
  "Statement": [
    {
      "Sid": "...",
      "Effect": "Allow",
      "Action": [
        "ec2:CreateSnapshot",
        "ec2:CreateTags",
        "ec2:DeleteSnapshot",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeSnapshots",
        "ec2:DescribeTags",
        "ec2:DescribeVolumeAttribute",
        "ec2:DescribeVolumeStatus",
        "ec2:DescribeVolumes"
      ],
      "Resource": [
        "arn:aws:ec2:eu-west-1:MY_USER_ID"
      ]
    }
  ]
}

액세스 키와 비밀을 추가하여 ~/.bashrc소싱했습니다. 실행할 ec2-describe-snapshots때이 응답을 얻습니다.Client.UnauthorizedOperation: You are not authorized to perform this operation.

"Resource"방금 "*"모든 유형의 Amazon 스냅 샷을 나열 할 수있었습니다. 해당 eu-west-1지역 에서 나만 소유 / 보이는 스냅 샷을 만들려고합니다 .

답변:


7

EC2 설명 이미지 권한을 제한하는 방법에 현명하게 게시 된 것처럼 , 리소스 수준 권한은 동작에 전혀 구현되지 않습니다 ec2:Describe*.

실제로 리소스 ARN이 아닌 다른 사안에 따라 액세스를 제한해야합니다.


1
내가 참조! 동일한 정책으로 스냅 샷을 직접 만들려고했지만 여전히 오류가 발생했습니다. 내 변경 Resource*다시 나는 스냅 샷을 생성 할 수 있었다. 스냅 샷이 항상 내 계정의 개인용으로 생성된다고 가정 할 수 있습니까?
juuga

기본적으로 그렇습니다. 공개로 설정되지 않는 한 스냅 샷은 비공개입니다
zeridon
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.