Comment générer une stratégie IAM pour créer des instantanés?

8

J'ai des volumes montés sur des instances EC2 dont je voudrais faire des instantanés.

J'ai créé un nouvel utilisateur IAM avec la stratégie suivante:

{
  "Statement": [
    {
      "Sid": "...",
      "Effect": "Allow",
      "Action": [
        "ec2:CreateSnapshot",
        "ec2:CreateTags",
        "ec2:DeleteSnapshot",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeSnapshots",
        "ec2:DescribeTags",
        "ec2:DescribeVolumeAttribute",
        "ec2:DescribeVolumeStatus",
        "ec2:DescribeVolumes"
      ],
      "Resource": [
        "arn:aws:ec2:eu-west-1:MY_USER_ID"
      ]
    }
  ]
}

J'ai ajouté la clé d'accès et le secret à ma ~/.bashrcsource et je l'ai obtenue. Quand je cours, ec2-describe-snapshotsj'obtiens cette réponse:Client.UnauthorizedOperation: You are not authorized to perform this operation.

Quand j'étais "Resource"juste, "*"j'ai pu lister tous les types d'instantanés d'Amazon. Je cherche à créer des instantanés appartenant à / visibles uniquement par moi dans la eu-west-1région.

juuga
la source

Réponses:

7

Comme indiqué judicieusement sur Comment puis-je limiter EC2 décrire les autorisations des images , les autorisations au niveau des ressources ne sont pas du tout implémentées sur les ec2:Describe*actions.

Dans la réalité, vous devez limiter l'accès en fonction d'autres éléments et non de l'ARN de ressource.

zéridon
la source
1
Je vois! Eh bien, j'ai essayé directement de créer un instantané avec la même politique, mais j'ai toujours rencontré une erreur. J'ai changé Resourcede *nouveau pour et j'ai pu créer l'instantané. Puis-je supposer que les instantanés seront toujours créés comme privés sur mon compte?
juuga
Par défaut oui. Les instantanés sont privés à moins qu'ils ne soient
rendus