Come posso generare un criterio IAM per creare snapshot?

8

Ho dei volumi montati su istanze EC2 di cui vorrei creare istantanee.

Ho creato un nuovo utente IAM con la seguente politica: 

{
  "Statement": [
    {
      "Sid": "...",
      "Effect": "Allow",
      "Action": [
        "ec2:CreateSnapshot",
        "ec2:CreateTags",
        "ec2:DeleteSnapshot",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeSnapshots",
        "ec2:DescribeTags",
        "ec2:DescribeVolumeAttribute",
        "ec2:DescribeVolumeStatus",
        "ec2:DescribeVolumes"
      ],
      "Resource": [
        "arn:aws:ec2:eu-west-1:MY_USER_ID"
      ]
    }
  ]
}

Ho aggiunto la chiave di accesso e il segreto al mio ~/.bashrce l' ho provata. Quando corro ec2-describe-snapshotsottengo questa risposta:Client.UnauthorizedOperation: You are not authorized to perform this operation.

Quando ero "Resource"solo "*"sono stato in grado di elencare tutti i tipi di istantanee di Amazon. Sto cercando di creare istantanee di proprietà di / visible solo per me nella eu-west-1regione.

amazon-ec2  amazon-web-services  amazon-iam 
juuga
fonte

Risposte:

7

Come sapientemente pubblicato su Come posso limitare EC2 per descrivere le autorizzazioni per le immagini , le autorizzazioni a livello di risorsa non sono affatto implementate sulle ec2:Describe*azioni.

In Realtà devi limitare l'accesso in base ad altre cose e non alla risorsa ARN.

zeridon
fonte
1
Vedo! Beh, ho provato direttamente a creare un'istantanea con lo stesso criterio, ma ho ancora riscontrato un errore. Ho cambiato Resourcedi *nuovo il mio e sono stato in grado di creare l'istantanea. Posso presumere che le istantanee saranno sempre create come private sul mio account?
juuga,
Di default si. Le istantanee sono private se non impostate su public
zeridon,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.