스냅 샷을 만들기위한 IAM 정책을 어떻게 생성합니까? 새 IAM 사용자를 생성했습니다.

스냅 샷을 만들려는 EC2 인스턴스에 볼륨을 마운트했습니다.

다음 정책으로 새 IAM 사용자를 생성했습니다.

{
  "Statement": [
    {
      "Sid": "...",
      "Effect": "Allow",
      "Action": [
        "ec2:CreateSnapshot",
        "ec2:CreateTags",
        "ec2:DeleteSnapshot",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeSnapshots",
        "ec2:DescribeTags",
        "ec2:DescribeVolumeAttribute",
        "ec2:DescribeVolumeStatus",
        "ec2:DescribeVolumes"
      ],
      "Resource": [
        "arn:aws:ec2:eu-west-1:MY_USER_ID"
      ]
    }
  ]
}

액세스 키와 비밀을 추가하여 ~/.bashrc소싱했습니다. 실행할 ec2-describe-snapshots때이 응답을 얻습니다.Client.UnauthorizedOperation: You are not authorized to perform this operation.

"Resource"방금 "*"모든 유형의 Amazon 스냅 샷을 나열 할 수있었습니다. 해당 eu-west-1지역 에서 나만 소유 / 보이는 스냅 샷을 만들려고합니다 .



답변

EC2 설명 이미지 권한을 제한하는 방법에 현명하게 게시 된 것처럼 , 리소스 수준 권한은 동작에 전혀 구현되지 않습니다 ec2:Describe*.

실제로 리소스 ARN이 아닌 다른 사안에 따라 액세스를 제한해야합니다.