Мне нужно автоматизировать резервное копирование экземпляра Linux AWS. Я хотел бы сделать это с помощью одного из множества доступных скриптов, которые полагаются на API-доступ AWS для создания моментальных снимков базового тома EBS.
У меня возникли проблемы с выяснением того, следует ли мне запускать эти сценарии / разрешать доступ API к экземпляру для резервного копирования, на другом экземпляре или даже с хоста за пределами AWS? Что безопаснее?
[1] https://github.com/colinbjohnson/aws-missing-tools/tree/master/ec2-automate-backup
Если вы создаете пользователя IAM (или роль экземпляра, если хотите), который может только создавать снимки - ничего больше, включая удаление - и использовать ключи доступа этого пользователя, это практически не имеет значения.
Даже если ваши ключи просочились в 4chan, худшее, что они могли сделать, - это сделать целую кучу снимков.
Вот пример IAM-политики:
{
"Statement": [{
"Action": [
"ec2:CreateSnapshot"
],
"Effect": "Allow",
"Resource": "*"
}]
}