Como eu gero uma política do IAM para criar instantâneos?

7

Eu tenho volumes montados em instâncias do EC2, dos quais gostaria de fazer instantâneos.

Eu criei um novo usuário do IAM com a seguinte política:

{
  "Statement": [
    {
      "Sid": "...",
      "Effect": "Allow",
      "Action": [
        "ec2:CreateSnapshot",
        "ec2:CreateTags",
        "ec2:DeleteSnapshot",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeSnapshots",
        "ec2:DescribeTags",
        "ec2:DescribeVolumeAttribute",
        "ec2:DescribeVolumeStatus",
        "ec2:DescribeVolumes"
      ],
      "Resource": [
        "arn:aws:ec2:eu-west-1:MY_USER_ID"
      ]
    }
  ]
}

Eu adicionei a chave de acesso e segredo ao meu ~/.bashrc e obtive-o. Quando executo ec2-describe-snapshots , recebo esta resposta: Client.UnauthorizedOperation: You are not authorized to perform this operation.

Quando meu "Resource" foi apenas "*" , consegui listar todos os tipos de instantâneos da Amazon. Estou procurando criar snapshots de / visible apenas para mim na eu-west-1 region.

    
por juuga 10.06.2014 / 14:04

1 resposta

6

Como sabiamente postou em Como posso limitar o EC2 a descrever as permissões de imagens , as permissões de nível de recurso não são implementadas em ec2:Describe* actions.

Na realidade, você precisa limitar o acesso com base em outras coisas e não no recurso ARN.

    
por 10.06.2014 / 14:26