¿Cómo genero una política de IAM para hacer instantáneas?

8

Tengo volúmenes montados en instancias EC2 de las cuales me gustaría hacer instantáneas.

Creé un nuevo usuario de IAM con la siguiente política:

{
  "Statement": [
    {
      "Sid": "...",
      "Effect": "Allow",
      "Action": [
        "ec2:CreateSnapshot",
        "ec2:CreateTags",
        "ec2:DeleteSnapshot",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeSnapshots",
        "ec2:DescribeTags",
        "ec2:DescribeVolumeAttribute",
        "ec2:DescribeVolumeStatus",
        "ec2:DescribeVolumes"
      ],
      "Resource": [
        "arn:aws:ec2:eu-west-1:MY_USER_ID"
      ]
    }
  ]
}

He agregado la clave de acceso y el secreto a mi ~/.bashrcy la obtuve. Cuando corro ec2-describe-snapshotsme sale esta respuesta:Client.UnauthorizedOperation: You are not authorized to perform this operation.

Cuando "Resource"tenía solo "*"podía enumerar todos los tipos de instantáneas de Amazon. Estoy buscando crear instantáneas propiedad de / visible solo para mí en la eu-west-1región.

juuga
fuente

Respuestas:

7

Como sabiamente publicado en Cómo puedo limitar EC2 describe los permisos de imágenes , los permisos de nivel de recursos no se implementan en absoluto en las ec2:Describe*acciones.

En Realidad, debe limitar el acceso en función de otras cosas y no del recurso ARN.

zeridon
fuente
1
¡Veo! Bueno, intenté directamente creando una instantánea con la misma política, pero aún encontré un error. Cambié mi Resourcede *nuevo y pude crear la instantánea. ¿Puedo suponer que las instantáneas siempre se crearán como privadas para mi cuenta?
juuga
Por defecto sí. Las instantáneas son privadas a menos que se establezcan en público
zeridon