我需要自动备份 Linux AWS 实例。我希望通过众多可用脚本之一来实现此目的,这些脚本依赖于 AWS 的 API 访问来对底层 EBS 卷进行快照。
我很难发现我是否应该在要备份的实例上运行这些脚本/启用 API 访问,在另一个实例上运行,甚至从 AWS 外部的主机上运行?什么更安全?
[1]https://github.com/colinbjohnson/aws-missing-tools/tree/master/ec2-automate-backup
答案1
如果您创建一个 IAM 用户(或您愿意的话,实例角色),则可以仅有的创建快照 - 没有其他操作,包括删除 - 并使用该用户的访问密钥,这几乎无关紧要。
即使你的密钥泄露给 4chan,他们最坏的做法也不过是制作一大堆快照。
以下是 IAM 策略的示例:
{
"Statement": [{
"Action": [
"ec2:CreateSnapshot"
],
"Effect": "Allow",
"Resource": "*"
}]
}