スナップショットを作成したいEC2インスタンスにボリュームをマウントしています。
次のポリシーで新しいIAMユーザーを作成しました。
{
"Statement": [
{
"Sid": "...",
"Effect": "Allow",
"Action": [
"ec2:CreateSnapshot",
"ec2:CreateTags",
"ec2:DeleteSnapshot",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSnapshots",
"ec2:DescribeTags",
"ec2:DescribeVolumeAttribute",
"ec2:DescribeVolumeStatus",
"ec2:DescribeVolumes"
],
"Resource": [
"arn:aws:ec2:eu-west-1:MY_USER_ID"
]
}
]
}
アクセスキーとシークレットを~/.bashrc
に追加して入手しました。 ec2-describe-snapshots
を実行すると、次の応答が返されます:Client.UnauthorizedOperation: You are not authorized to perform this operation.
私の"Resource"
が"*"
だったとき、Amazonのすべてのタイプのスナップショットを一覧表示することができました。 eu-west-1
リージョンで自分だけが所有/表示できるスナップショットを作成しようとしています。
EC2記述イメージのアクセス許可をどのように制限できるか に賢明に投稿されているように、リソースレベルのアクセス許可はec2:Describe*
アクションにまったく実装されていません。
実際には、リソースARNではなく、他のものに基づいてアクセスを制限する必要があります。