스냅 샷을 만들려는 EC2 인스턴스에 볼륨을 마운트했습니다.
다음 정책으로 새 IAM 사용자를 생성했습니다.
{
"Statement": [
{
"Sid": "...",
"Effect": "Allow",
"Action": [
"ec2:CreateSnapshot",
"ec2:CreateTags",
"ec2:DeleteSnapshot",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSnapshots",
"ec2:DescribeTags",
"ec2:DescribeVolumeAttribute",
"ec2:DescribeVolumeStatus",
"ec2:DescribeVolumes"
],
"Resource": [
"arn:aws:ec2:eu-west-1:MY_USER_ID"
]
}
]
}
액세스 키와 비밀을 추가하여 ~/.bashrc소싱했습니다. 실행할 ec2-describe-snapshots때이 응답을 얻습니다.Client.UnauthorizedOperation: You are not authorized to perform this operation.
내 "Resource"방금 "*"모든 유형의 Amazon 스냅 샷을 나열 할 수있었습니다. 해당 eu-west-1지역 에서 나만 소유 / 보이는 스냅 샷을 만들려고합니다 .
답변
EC2 설명 이미지 권한을 제한하는 방법에 현명하게 게시 된 것처럼 , 리소스 수준 권한은 동작에 전혀 구현되지 않습니다 ec2:Describe*.
실제로 리소스 ARN이 아닌 다른 사안에 따라 액세스를 제한해야합니다.