Bagaimana cara menghasilkan kebijakan IAM untuk membuat foto?

8

Saya memiliki volume yang terpasang pada instance EC2 yang ingin saya jepret.

Saya membuat pengguna IAM baru dengan kebijakan berikut: 

{
  "Statement": [
    {
      "Sid": "...",
      "Effect": "Allow",
      "Action": [
        "ec2:CreateSnapshot",
        "ec2:CreateTags",
        "ec2:DeleteSnapshot",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeSnapshots",
        "ec2:DescribeTags",
        "ec2:DescribeVolumeAttribute",
        "ec2:DescribeVolumeStatus",
        "ec2:DescribeVolumes"
      ],
      "Resource": [
        "arn:aws:ec2:eu-west-1:MY_USER_ID"
      ]
    }
  ]
}

Saya telah menambahkan kunci akses dan rahasia saya ~/.bashrcdan mengambilnya. Ketika saya menjalankan ec2-describe-snapshotssaya mendapatkan respons ini:Client.UnauthorizedOperation: You are not authorized to perform this operation.

Ketika saya "Resource"baru saja, "*"saya bisa membuat daftar semua jenis snapshot Amazon. Saya mencari untuk membuat snapshot yang dimiliki oleh / terlihat oleh saya saja di eu-west-1wilayah tersebut.

amazon-ec2 amazon-web-services amazon-iam juuga
sumber

Jawaban:

7

Seperti yang diposting dengan bijak di Bagaimana saya bisa membatasi EC2 menggambarkan izin gambar , izin tingkat sumber daya tidak diterapkan sama sekali pada ec2:Describe*tindakan.

Dalam Realitas Anda perlu membatasi akses berdasarkan hal-hal lain dan bukan sumber daya ARN.

zeridon
sumber
1
Saya melihat! Yah saya mencoba langsung hanya membuat snapshot dengan kebijakan yang sama tetapi saya masih mengalami kesalahan. Saya mengubah Resourceke saya *lagi dan saya bisa membuat snapshot. Dapatkah saya berasumsi bahwa snapshot akan selalu dibuat sebagai pribadi untuk akun saya?
juuga
Secara default ya. Snapshots bersifat pribadi kecuali ditetapkan untuk umum
zeridon