Comment générer une stratégie IAM pour créer des instantanés?

J'ai des volumes montés sur des instances EC2 dont je voudrais faire des instantanés.

J'ai créé un nouvel utilisateur IAM avec la stratégie suivante:

{
  "Statement": [
    {
      "Sid": "...",
      "Effect": "Allow",
      "Action": [
        "ec2:CreateSnapshot",
        "ec2:CreateTags",
        "ec2:DeleteSnapshot",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeSnapshots",
        "ec2:DescribeTags",
        "ec2:DescribeVolumeAttribute",
        "ec2:DescribeVolumeStatus",
        "ec2:DescribeVolumes"
      ],
      "Resource": [
        "arn:aws:ec2:eu-west-1:MY_USER_ID"
      ]
    }
  ]
}

J'ai ajouté la clé d'accès et le secret à ma ~/.bashrcsource et je l'ai obtenue. Quand je cours, ec2-describe-snapshotsj'obtiens cette réponse:Client.UnauthorizedOperation: You are not authorized to perform this operation.

Quand j'étais "Resource"juste, "*"j'ai pu lister tous les types d'instantanés d'Amazon. Je cherche à créer des instantanés appartenant à / visibles uniquement par moi dans la eu-west-1région.

amazon-ec2 amazon-web-services amazon-iam

— juuga
source

Comme indiqué judicieusement sur Comment puis-je limiter EC2 décrire les autorisations des images , les autorisations au niveau des ressources ne sont pas du tout implémentées sur les ec2:Describe*actions.

Dans la réalité, vous devez limiter l'accès en fonction d'autres éléments et non de l'ARN de ressource.

— zéridon
source

Je vois! Eh bien, j'ai essayé directement de créer un instantané avec la même politique, mais j'ai toujours rencontré une erreur. J'ai changé Resourcede *nouveau pour et j'ai pu créer l'instantané. Puis-je supposer que les instantanés seront toujours créés comme privés sur mon compte?

— juuga

Par défaut oui. Les instantanés sont privés à moins qu'ils ne soient

— rendus