Como faço para gerar uma política do IAM para criar instantâneos?

8

Eu tenho volumes montados em instâncias do EC2 das quais gostaria de fazer instantâneos.

Criei um novo usuário do IAM com a seguinte política:

{
  "Statement": [
    {
      "Sid": "...",
      "Effect": "Allow",
      "Action": [
        "ec2:CreateSnapshot",
        "ec2:CreateTags",
        "ec2:DeleteSnapshot",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeSnapshots",
        "ec2:DescribeTags",
        "ec2:DescribeVolumeAttribute",
        "ec2:DescribeVolumeStatus",
        "ec2:DescribeVolumes"
      ],
      "Resource": [
        "arn:aws:ec2:eu-west-1:MY_USER_ID"
      ]
    }
  ]
}

Eu adicionei a chave e o segredo de acesso ao meu ~/.bashrce o localizei. Quando corro ec2-describe-snapshots, recebo esta resposta:Client.UnauthorizedOperation: You are not authorized to perform this operation.

Quando eu "Resource"era apenas "*"eu era capaz de listar todos os tipos de instantâneos da Amazon. Estou procurando criar instantâneos de propriedade de / visíveis apenas para mim na eu-west-1região.

juuga
fonte

Respostas:

7

Conforme publicado sabiamente em Como posso limitar as permissões de descrição de imagens do EC2 , as permissões no nível do recurso não são implementadas em todas as ec2:Describe*ações.

Na realidade, você precisa limitar o acesso com base em outras coisas e não no recurso ARN.

zeridon
fonte
1
Entendo! Bem, tentei diretamente apenas criar um instantâneo com a mesma política, mas ainda encontrei um erro. Mudei Resourcepara *novamente e consegui criar o instantâneo. Posso assumir que os instantâneos serão sempre criados como privados na minha conta?
juuga
Por padrão, sim. Os instantâneos são privadas, a menos que definido como público
zeridon