Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Steuern Sie den Zugriff auf direkte EBS-APIs mithilfe von IAM
Ein Benutzer muss über die folgenden Richtlinien verfügen, um die direkten EBS-APIs verwenden zu können. Weitere Informationen finden Sie unter [Ändern von Berechtigungen für einen Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html).
Weitere Informationen zu EBS-Direct-API-Ressourcen, -Aktionen und -Bedingungskontextschlüsseln für die Verwendung in IAM-Berechtigungsrichtlinien finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Elastic Block Store](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticblockstore.html) in der *Service-Authorization-Referenz*.
**Wichtig**
Seien Sie vorsichtig, wenn Sie den -Benutzern die folgenden Richtlinien zuweisen. Durch die Zuweisung dieser Richtlinien können Sie einem Benutzer Zugriff gewähren, dem der Zugriff auf dieselbe Ressource über die Amazon EC2 EC2-APIs verweigert wird, z. B. die Aktionen CopySnapshot oder CreateVolume .
## Berechtigungen zum Lesen von Snapshots
Die folgende Richtlinie ermöglicht die Verwendung der direkten *EBS-Read-APIs* für alle Snapshots in einer bestimmten Region. AWS Ersetzen Sie den Wert in der Richtlinie {{}} durch die Region des Snapshots.
Mit der folgenden Richtlinie kann der * Lese*-EBS-Direct-APIs für Snapshots mit einem bestimmten Schlüssel-Wert-Tag (Markierung) verwendet werden. Ersetzen Sie in der Richtlinie {{}} durch den Schlüsselwert des Tags und {{}} durch den Wert des Tags.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:ListChangedBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"StringEqualsIgnoreCase": {
"aws:ResourceTag/{{}}": "{{}}"
}
}
}
]
}
```
------
Mit der folgenden Richtlinie können alle *Lesevorgänge* in EBS-Direct-APIs für alle Snapshots im Konto nur innerhalb eines bestimmten Zeitraums verwendet werden. Diese Richtlinie autorisiert die Verwendung des EBS-Direct-APIs auf der Basis des globalen Bedingungsschlüssels `aws:CurrentTime`. Stellen Sie sicher, dass Sie in der Richtlinie den angezeigten Datums- und Zeitbereich durch den Datums- und Zeitbereich für Ihre Richtlinie ersetzen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:ListChangedBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"DateGreaterThan": {
"aws:CurrentTime": "{{2018-05-29T00:00:00Z}}"
},
"DateLessThan": {
"aws:CurrentTime": "{{2020-05-29T23:59:59Z}}"
}
}
}
]
}
```
------
Weitere Informationen finden Sie unter [Ändern von Berechtigungen für einen Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) im *IAM-Benutzerhandbuch*.
## Berechtigungen zum Schreiben von Snapshots
Die folgende Richtlinie ermöglicht die Verwendung der direkten *EBS-Schreib-APIs* für alle Snapshots in einer bestimmten AWS Region. Ersetzen Sie den Wert in der Richtlinie {{}} durch die Region des Snapshots.
Mit der folgenden Richtlinie kann der *Schreib*-EBS-Direct-APIs für Snapshots mit einem bestimmten Schlüssel-Werte-Tag (Markierung) verwendet werden. Ersetzen Sie in der Richtlinie {{}} durch den Schlüsselwert des Tags und {{}} durch den Wert des Tags.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ebs:StartSnapshot",
"ebs:PutSnapshotBlock",
"ebs:CompleteSnapshot"
],
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"StringEqualsIgnoreCase": {
"aws:ResourceTag/{{}}": "{{}}"
}
}
}
]
}
```
------
Mit der folgenden Richtlinie kann der gesamte EBS-Direct-APIs verwendet werden. Sie lässt darüber hinaus die Aktion `StartSnapshot` nur zu, wenn eine übergeordnete Snapshot-ID angegeben ist. Daher blockiert diese Richtlinie das Starten neuer Snapshots ohne Verwendung eines übergeordneten Snapshots.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ebs:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"ebs:ParentSnapshot": "arn:aws:ec2:*::snapshot/*"
}
}
}
]
}
```
------
Mit der folgenden Richtlinie kann der gesamte EBS-Direct-APIs verwendet werden. Sie lässt außerdem für einen neuen Snapshot ausschließlich die Erstellung des Tag (Markierung)-Schlüssels `user` zu. Diese Richtlinie stellt darüber hinaus sicher, dass der Benutzer Tags (Markierungen) erstellen kann. Die Aktion `StartSnapshot` ist die einzige Aktion, die Tags angeben kann.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ebs:*",
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": "user"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "*"
}
]
}
```
------
Mit der folgenden Richtlinie kann der gesamte *Schreib*-EBS-Direct-APIs für alle Snapshots im Konto nur innerhalb eines bestimmten Zeitraums verwendet werden. Diese Richtlinie autorisiert die Verwendung des EBS-Direct-APIs auf der Basis des globalen Bedingungsschlüssels `aws:CurrentTime`. Stellen Sie sicher, dass Sie in der Richtlinie den angezeigten Datums- und Zeitbereich durch den Datums- und Zeitbereich für Ihre Richtlinie ersetzen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ebs:StartSnapshot",
"ebs:PutSnapshotBlock",
"ebs:CompleteSnapshot"
],
"Resource": "arn:aws:ec2:*::snapshot/*",
"Condition": {
"DateGreaterThan": {
"aws:CurrentTime": "{{2018-05-29T00:00:00Z}}"
},
"DateLessThan": {
"aws:CurrentTime": "{{2020-05-29T23:59:59Z}}"
}
}
}
]
}
```
------
Weitere Informationen finden Sie unter [Ändern von Berechtigungen für einen Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) im *IAM-Benutzerhandbuch*.
## Zu verwendende Berechtigungen AWS KMS keys
Die folgende Richtlinie gewährt die Berechtigung zum Entschlüsseln eines verschlüsselten Snapshots mithilfe einer spezifischen Verschlüsselung. Sie erteilt auch die Berechtigung, neue Snapshots mit dem standardmäßigen KMS-Schlüssel für die EBS-Verschlüsselung zu verschlüsseln. {{}}Ersetzen Sie in der Richtlinie durch die Region des KMS-Schlüssels, {{}} durch die ID des AWS Kontos des KMS-Schlüssels und {{}} durch die ID des KMS-Schlüssels.
**Anmerkung**
Standardmäßig haben alle Principals im Konto Zugriff auf den standardmäßigen AWS verwalteten KMS-Schlüssel für die Amazon EBS-Verschlüsselung und können ihn für EBS-Verschlüsselungs- und Entschlüsselungsvorgänge verwenden. Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden, müssen Sie eine neue Schlüsselrichtlinie erstellen oder die vorhandene Schlüsselrichtlinie für den vom Kunden verwalteten Schlüssel ändern, um dem Prinzipal Zugriff auf den vom Kunden verwalteten Schlüssel zu gewähren. Weitere Informationen finden Sie unter [Schlüsselrichtlinien in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) im *Entwicklerhandbuch für AWS Key Management Service *.
**Tipp**
Um den Grundsatz der Erteilung der geringsten erforderlichen Berechtigungen zu befolgen, lassen Sie den vollständigen Zugriff auf `kms:CreateGrant` nicht zu. Verwenden Sie stattdessen den `kms:GrantIsForAWSResource` Bedingungsschlüssel, damit der Benutzer nur dann Berechtigungen für den KMS-Schlüssel erstellen kann, wenn der Zuschuss im Namen des Benutzers von einem AWS Dienst erstellt wird, wie im folgenden Beispiel gezeigt.
Weitere Informationen finden Sie unter [Ändern von Berechtigungen für einen Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) im *IAM-Benutzerhandbuch*.