web-dev-qa-db-ja.com

スナップショットを作成するためのIAMポリシーを生成するにはどうすればよいですか?

スナップショットを作成したいEC2インスタンスにボリュームをマウントしています。

次のポリシーで新しいIAMユーザーを作成しました。

{
  "Statement": [
    {
      "Sid": "...",
      "Effect": "Allow",
      "Action": [
        "ec2:CreateSnapshot",
        "ec2:CreateTags",
        "ec2:DeleteSnapshot",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeSnapshots",
        "ec2:DescribeTags",
        "ec2:DescribeVolumeAttribute",
        "ec2:DescribeVolumeStatus",
        "ec2:DescribeVolumes"
      ],
      "Resource": [
        "arn:aws:ec2:eu-west-1:MY_USER_ID"
      ]
    }
  ]
}

アクセスキーとシークレットを~/.bashrcに追加して入手しました。 ec2-describe-snapshotsを実行すると、次の応答が返されます:Client.UnauthorizedOperation: You are not authorized to perform this operation.

私の"Resource""*"だったとき、Amazonのすべてのタイプのスナップショットを一覧表示することができました。 eu-west-1リージョンで自分だけが所有/表示できるスナップショットを作成しようとしています。

8
juuga

EC2記述イメージのアクセス許可をどのように制限できるか に賢明に投稿されているように、リソースレベルのアクセス許可はec2:Describe*アクションにまったく実装されていません。

実際には、リソースARNではなく、他のものに基づいてアクセスを制限する必要があります。

7
zeridon