Làm cách nào để tạo chính sách IAM để tạo ảnh chụp nhanh?


8

Tôi có khối lượng được gắn trên các phiên bản EC2 mà tôi muốn thực hiện các ảnh chụp nhanh.

Tôi đã tạo một người dùng IAM mới với chính sách sau:

{
  "Statement": [
    {
      "Sid": "...",
      "Effect": "Allow",
      "Action": [
        "ec2:CreateSnapshot",
        "ec2:CreateTags",
        "ec2:DeleteSnapshot",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeSnapshots",
        "ec2:DescribeTags",
        "ec2:DescribeVolumeAttribute",
        "ec2:DescribeVolumeStatus",
        "ec2:DescribeVolumes"
      ],
      "Resource": [
        "arn:aws:ec2:eu-west-1:MY_USER_ID"
      ]
    }
  ]
}

Tôi đã thêm khóa truy cập và bí mật cho tôi ~/.bashrcvà có nguồn gốc. Khi tôi chạy ec2-describe-snapshotstôi nhận được phản hồi này:Client.UnauthorizedOperation: You are not authorized to perform this operation.

Khi tôi "Resource"chỉ là "*"tôi đã có thể liệt kê tất cả các loại ảnh chụp nhanh của Amazon. Tôi đang tìm cách tạo các ảnh chụp nhanh thuộc sở hữu / chỉ hiển thị cho tôi trong eu-west-1khu vực.

Câu trả lời:


7

Như được đăng một cách khôn ngoan tại Làm thế nào tôi có thể giới hạn EC2 mô tả quyền hình ảnh , quyền cấp độ tài nguyên hoàn toàn không được thực hiện ec2:Describe*.

Trong thực tế, bạn cần giới hạn quyền truy cập dựa trên những thứ khác chứ không phải ARN tài nguyên.


1
Tôi hiểu rồi! Vâng, tôi đã cố gắng trực tiếp chỉ tạo một ảnh chụp nhanh với chính sách tương tự nhưng tôi vẫn gặp lỗi. Tôi đã thay đổi Resourcethành *một lần nữa và tôi đã có thể tạo ảnh chụp nhanh. Tôi có thể cho rằng các ảnh chụp nhanh sẽ luôn được tạo ở chế độ riêng tư đối với tài khoản của tôi không?
juuga

Theo mặc định là có. Ảnh chụp nhanh là riêng tư trừ khi được đặt thành công khai
zeridon
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.