我在 EC2 实例上安装了卷,我想为其制作快照。
我使用以下策略创建了一个新的 IAM 用户:
{
"Statement": [
{
"Sid": "...",
"Effect": "Allow",
"Action": [
"ec2:CreateSnapshot",
"ec2:CreateTags",
"ec2:DeleteSnapshot",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSnapshots",
"ec2:DescribeTags",
"ec2:DescribeVolumeAttribute",
"ec2:DescribeVolumeStatus",
"ec2:DescribeVolumes"
],
"Resource": [
"arn:aws:ec2:eu-west-1:MY_USER_ID"
]
}
]
}
我已将访问密钥和机密添加到我的~/.bashrc源中。运行时,ec2-describe-snapshots我收到以下响应:Client.UnauthorizedOperation: You are not authorized to perform this operation.
当我"Resource"刚刚"*"能够列出所有类型的 Amazon 快照时。我希望创建该eu-west-1区域中仅由我拥有/可见的快照。
答案1
正如明智地发布在如何限制EC2描述图像的权限ec2:Describe*,资源级别的权限在操作上根本没有实现。
实际上,您需要根据其他因素而不是资源 ARN 来限制访问。