У меня есть тома, смонтированные на экземплярах EC2, для которых я хотел бы сделать снимки.
Я создал нового пользователя IAM со следующей политикой:
{
"Statement": [
{
"Sid": "...",
"Effect": "Allow",
"Action": [
"ec2:CreateSnapshot",
"ec2:CreateTags",
"ec2:DeleteSnapshot",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSnapshots",
"ec2:DescribeTags",
"ec2:DescribeVolumeAttribute",
"ec2:DescribeVolumeStatus",
"ec2:DescribeVolumes"
],
"Resource": [
"arn:aws:ec2:eu-west-1:MY_USER_ID"
]
}
]
}
Я добавил ключ доступа и секрет в свой ~/.bashrc и получил его. Когда я бегу ec2-describe-snapshots Я получаю такой ответ: Client.UnauthorizedOperation: You are not authorized to perform this operation.
Когда мой "Resource" Было просто "*" Я смог перечислить все типы снимков Amazon. Я хочу создать снимки, принадлежащие / видимые только мне в eu-west-1 область.
Как мудро размещено на Как я могу ограничить права доступа к изображениям в EC2, разрешения на уровне ресурсов вообще не реализуются на ec2:Describe* действия.
В реальности вам нужно ограничить доступ на основе других вещей, а не ресурса ARN.