Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Sauvegardez et archivez les données sur Amazon S3 avec Veeam Backup & Replication
*Jeanna James, Anthony Fiore (AWS) et William Quigley, Amazon Web Services*
## Résumé
Ce modèle détaille le processus d'envoi des sauvegardes créées par Veeam Backup & Replication aux classes de stockage d'objets Amazon Simple Storage Service (Amazon S3) prises en charge en utilisant la fonctionnalité de référentiel de sauvegarde scale-out de Veeam.
Veeam prend en charge plusieurs classes de stockage Amazon S3 afin de répondre au mieux à vos besoins spécifiques. Vous pouvez choisir le type de stockage en fonction de l'accès aux données, de la résilience et des exigences de coût de vos données de sauvegarde ou d'archivage. Par exemple, vous pouvez stocker des données que vous n'avez pas l'intention d'utiliser pendant 30 jours ou plus dans un accès peu fréquent (IA) d'Amazon S3 à moindre coût. Si vous prévoyez d'archiver des données pendant 90 jours ou plus, vous pouvez utiliser S3 Glacier Flexible Retrieval ou S3 Glacier Deep Archive avec le niveau d'archivage de Veeam. Vous pouvez également utiliser S3 Object Lock pour créer des sauvegardes immuables dans Amazon S3.
Ce modèle n'explique pas comment configurer Veeam Backup & Replication avec une passerelle sur bande intégrée. AWS Storage Gateway Pour plus d'informations sur ce sujet, consultez [Veeam Backup & Replication using AWS VTL Gateway - Deployment Guide](https://www.veeam.com/resources/wp-using-aws-vtl-gateway-deployment-guide.html) sur le site Web de Veeam.
|
|
| Avertissement : ce scénario nécessite que les utilisateurs Gestion des identités et des accès AWS (IAM) disposent d'un accès programmatique et d'informations d'identification à long terme, ce qui présente un risque de sécurité. Pour atténuer ce risque, nous vous recommandons de ne fournir à ces utilisateurs que les autorisations dont ils ont besoin pour effectuer la tâche et de supprimer ces autorisations lorsqu’elles ne sont plus nécessaires. Les clés d’accès peuvent être mises à jour si nécessaire. Pour plus d'informations, consultez la section [Mise à jour des clés d'accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) dans le *guide de l'utilisateur IAM*. |
| --- |
## Conditions préalables et limitations
**Conditions préalables**
+ [Veeam Backup & Replication, y compris Veeam Availability Suite ou Veeam Backup Essentials, installé (vous pouvez vous inscrire pour bénéficier d'un essai gratuit)](https://www.veeam.com/backup-replication-virtual-physical-cloud.html)
+ Licence Veeam Backup & Replication avec fonctionnalité Enterprise ou Enterprise Plus, qui inclut la licence universelle Veeam (VUL)
+ Un utilisateur IAM actif ayant accès à un compartiment Amazon S3
+ Un utilisateur IAM actif ayant accès à Amazon Elastic Compute Cloud (Amazon EC2) et Amazon Virtual Private Cloud (Amazon VPC), s'il utilise le niveau d'archivage
+ Connectivité réseau sur site ou Services AWS avec bande passante disponible pour le trafic de sauvegarde et de restauration via une connexion Internet publique ou une interface virtuelle AWS Direct Connect publique (VIF)
+ Les ports réseau et points de terminaison suivants ont été ouverts pour garantir une communication correcte avec les référentiels de stockage d'objets :
+ Stockage Amazon S3 — TCP — port 443 : utilisé pour communiquer avec le stockage Amazon S3.
+ Stockage Amazon S3 — points de terminaison cloud — `*.amazonaws.com` pour Régions AWS les AWS GovCloud (US) Regions régions ou `*.amazonaws.com.rproxy.govskope.us.cn` pour la Chine : utilisé pour communiquer avec le stockage Amazon S3. Pour obtenir la liste complète des points de terminaison de connexion, consultez les points de [terminaison Amazon S3](https://docs.aws.amazon.com/general/latest/gr/s3.html#s3_region) dans la AWS documentation.
+ Stockage Amazon S3 — TCP HTTP — port 80 : utilisé pour vérifier l'état du certificat. N'oubliez pas que les points de terminaison de vérification des certificats, à savoir les serveurs de liste de révocation de certificats (CRL) URLs et de protocole OCSP (Online Certificate Status Protocol), sont susceptibles d'être modifiés. La liste réelle des adresses se trouve dans le certificat lui-même.
+ Stockage Amazon S3 — points de terminaison de vérification des certificats — `*.amazontrust.com` : utilisé pour vérifier l'état du certificat. N'oubliez pas que les points de terminaison de vérification des certificats (serveurs CRL URLs et OCSP) sont susceptibles de changer. La liste réelle des adresses se trouve dans le certificat lui-même.
**Limites**
+ Veeam ne prend pas en charge les politiques de cycle de vie S3 sur les buckets S3 utilisés comme référentiels de stockage d'objets Veeam. Il s'agit notamment des politiques relatives aux transitions de classes de stockage Amazon S3 et des règles d'expiration du cycle de vie S3. Veeam **doit** être la seule entité à gérer ces objets. L'activation des politiques S3 Lifecycle peut avoir des conséquences inattendues, notamment des pertes de données.
**Versions du produit**
+ Veeam Backup & Replication v9.5 Update 4 ou version ultérieure (sauvegarde uniquement ou niveau de capacité)
+ Veeam Backup & Replication v10 ou version ultérieure (niveau de sauvegarde ou de capacité et S3 Object Lock)
+ Veeam Backup & Replication v11 ou version ultérieure (niveau de sauvegarde ou de capacité, niveau d'archivage ou d'archivage et S3 Object Lock)
+ Veeam Backup & Replication v12 ou version ultérieure (niveau de performance, niveau de sauvegarde ou de capacité, niveau d'archivage ou d'archivage et S3 Object Lock)
+ S3 Standard
+ S3 standard – Accès peu fréquent
+ S3 One Zone-IA
+ S3 Glacier Flexible Retrieval (v11 et versions ultérieures uniquement)
+ S3 Glacier Deep Archive (v11 et versions ultérieures uniquement)
+ S3 Glacier Instant Retrieval (v12 et versions ultérieures uniquement)
## Architecture
**Pile technologique source**
+ Installation Veeam Backup & Replication sur site avec connectivité depuis un serveur de sauvegarde Veeam ou un serveur de passerelle Veeam vers Amazon S3
**Pile technologique cible**
+ Amazon S3
+ Amazon VPC et Amazon EC2 (si vous utilisez le niveau d'archivage)
**Architecture cible : SOBR**
Le schéma suivant montre l'architecture du référentiel de sauvegarde évolutif (SOBR).
![\[Architecture SOBR pour la sauvegarde des données de Veeam vers Amazon S3\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/7f3a36f7-31dc-45c8-87b2-c5dd37f7a01e/images/b48fd0cd-b66c-4ef7-b6fa-0ed53354e1a2.png)
Le logiciel Veeam Backup and Replication protège les données contre les erreurs logiques telles que les défaillances du système, les erreurs d'application ou les suppressions accidentelles. Dans ce schéma, les sauvegardes sont d'abord exécutées sur site, puis une copie secondaire est envoyée directement à Amazon S3. Une sauvegarde représente une point-in-time copie des données.
Le flux de travail comprend trois composants principaux requis pour hiérarchiser ou copier des sauvegardes vers Amazon S3, ainsi qu'un composant facultatif :
+ Veeam Backup & Replication (1) : serveur de sauvegarde chargé de coordonner, de contrôler et de gérer l'infrastructure de sauvegarde, les paramètres, les tâches, les tâches de restauration et les autres processus.
+ Serveur de passerelle Veeam (non illustré dans le schéma) : serveur de passerelle sur site en option requis si le serveur de sauvegarde Veeam ne dispose pas de connectivité sortante vers Amazon S3.
+ Référentiel de sauvegarde évolutif (2) : système de référentiel avec support de mise à l'échelle horizontale pour le stockage de données à plusieurs niveaux. Le référentiel de sauvegarde évolutif comprend un ou plusieurs référentiels de sauvegarde qui fournissent un accès rapide aux données et peuvent être étendus avec des référentiels de stockage d'objets Amazon S3 pour le stockage à long terme (niveau de capacité) et l'archivage (niveau d'archivage). Veeam utilise le référentiel de sauvegarde évolutif pour hiérarchiser automatiquement les données entre le stockage local (niveau de performance) et le stockage d'objets Amazon S3 (niveaux de capacité et d'archivage).
**Note**
À partir de Veeam Backup & Replication v12.2, la fonctionnalité Direct to S3 Glacier rend le niveau de capacité S3 optionnel. Un SOBR peut être configuré avec un niveau de performance et un niveau d'archivage S3 Glacier. Cette configuration est utile pour les utilisateurs qui ont des investissements importants dans le stockage local (sur site) pour le niveau de capacité et qui ont uniquement besoin de conserver leurs archives à long terme dans le cloud. Pour plus d'informations, consultez la documentation de [Veeam Backup & Replication](https://helpcenter.veeam.com/docs/backup/vsphere/archive_tier.html?ver=120).
+ Amazon S3 (3) : service de stockage d' AWS objets offrant évolutivité, disponibilité des données, sécurité et performances.
**Architecture cible : DTO**
Le schéma suivant montre l'architecture direct-to-object (DTO).
![\[Architecture DTO pour la sauvegarde des données de Veeam vers Amazon S3\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/7f3a36f7-31dc-45c8-87b2-c5dd37f7a01e/images/9debe53a-d70a-43fa-844c-f93fa22124eb.png)
Dans ce schéma, les données de sauvegarde sont directement transférées vers Amazon S3 sans être stockées sur site au préalable. Les copies secondaires peuvent être stockées dans S3 Glacier.
**Automatisation et mise à l'échelle**
[Vous pouvez automatiser la création de ressources IAM et de compartiments S3 en utilisant les CloudFormation modèles fournis dans le VeeamHub GitHub référentiel.](https://github.com/VeeamHub/veeam-aws-cloudformation/tree/master/veeam-backup-and-replication) Les modèles incluent à la fois des options standard et immuables.
## Outils
**Outils et Services AWS**
+ [Veeam Backup & Replication](https://www.veeam.com/vm-backup-recovery-replication-software.html) est une solution de Veeam pour protéger, sauvegarder, répliquer et restaurer vos charges de travail virtuelles et physiques.
+ [CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)vous aide à modéliser et à configurer vos AWS ressources, à les approvisionner rapidement et de manière cohérente, et à les gérer tout au long de leur cycle de vie. Vous pouvez utiliser un modèle pour décrire vos ressources et leurs dépendances, puis les lancer et les configurer ensemble sous forme de pile, au lieu de gérer les ressources individuellement. Vous pouvez gérer et approvisionner des piles sur plusieurs Comptes AWS et Régions AWS.
+ [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/ec2/) fournit une capacité de calcul évolutive dans le AWS Cloud. Vous pouvez utiliser Amazon EC2 pour lancer autant ou aussi peu de serveurs virtuels que vous le souhaitez, et vous pouvez les étendre ou les intégrer.
+ [Gestion des identités et des accès AWS (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) est un service Web permettant de contrôler en toute sécurité l'accès à Services AWS. Avec IAM, vous pouvez gérer de manière centralisée les utilisateurs, les informations d'identification de sécurité telles que les clés d'accès et les autorisations qui contrôlent les AWS ressources auxquelles les utilisateurs et les applications peuvent accéder.
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) est un service de stockage d'objets. Vous pouvez utiliser Amazon S3 pour stocker et récupérer n'importe quelle quantité de données, n'importe quand et depuis n'importe quel emplacement sur le Web.
+ [Amazon S3 Glacier (S3 Glacier)](https://docs.aws.amazon.com/amazonglacier/latest/dev/introduction.html) est un service sécurisé et durable pour l'archivage des données à faible coût et la sauvegarde à long terme.
+ [Amazon Virtual Private Cloud (Amazon VPC) fournit](https://docs.aws.amazon.com/vpc/) une section isolée de manière logique dans AWS Cloud laquelle vous pouvez lancer des AWS ressources dans un réseau virtuel que vous avez défini. Ce réseau virtuel ressemble beaucoup à un réseau traditionnel que vous pourriez exécuter dans votre propre data center, et présente l'avantage d'utiliser l'infrastructure évolutive d' AWS.
**Code**
Utilisez les CloudFormation modèles fournis dans le [VeeamHub GitHub référentiel](https://github.com/VeeamHub/veeam-aws-cloudformation/tree/master/veeam-backup-and-replication) pour créer automatiquement les ressources IAM et les compartiments S3 pour ce modèle. Si vous préférez créer ces ressources manuellement, suivez les étapes de la section *Epics*.
## Bonnes pratiques
Conformément aux meilleures pratiques IAM, nous vous recommandons vivement de changer régulièrement les informations d'identification utilisateur IAM à long terme, telles que l'utilisateur IAM que vous utilisez pour écrire des sauvegardes Veeam Backup & Replication sur Amazon S3. Pour plus d'informations, veuillez consulter [Bonnes pratiques de sécurité](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials) dans la documentation IAM.
## Épopées
### Configurer le stockage Amazon S3 dans votre compte
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Créez un utilisateur IAM. | Suivez les [instructions de la documentation IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) pour créer un utilisateur IAM. Cet utilisateur ne doit pas avoir accès à la AWS console et vous devrez créer une clé d'accès pour cet utilisateur. Veeam utilise cette entité pour s'authentifier afin de lire et AWS d'écrire dans vos compartiments S3. Vous devez accorder le moindre privilège (c'est-à-dire accorder uniquement les autorisations nécessaires à l'exécution d'une tâche) afin que l'utilisateur n'ait pas plus d'autorité qu'il n'en a besoin. [Pour des exemples de politiques IAM à associer à votre utilisateur Veeam IAM, consultez la section Informations supplémentaires.](#back-up-and-archive-data-to-amazon-s3-with-veeam-backup-replication-additional)Vous pouvez également utiliser les CloudFormation modèles fournis dans le [VeeamHub GitHub référentiel](https://github.com/VeeamHub/veeam-aws-cloudformation/tree/master/veeam-backup-and-replication) pour créer un utilisateur IAM et un compartiment S3 pour ce modèle. | Administrateur AWS |
| Créez un compartiment S3. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/back-up-and-archive-data-to-amazon-s3-with-veeam-backup-replication.html)Pour plus d'informations, consultez [la section Création d'un compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) dans la documentation Amazon S3. | Administrateur AWS |
### Ajoutez Amazon S3 et S3 Glacier Flexible Retrieval (ou S3 Glacier Deep Archive) à Veeam Backup & Replication
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Lancez l'assistant de dépôt de nouveaux objets. | Avant de configurer le stockage d'objets et les référentiels de sauvegarde évolutifs dans Veeam, vous devez ajouter les référentiels de stockage Amazon S3 et S3 Glacier que vous souhaitez utiliser pour les niveaux de capacité et d'archivage. Dans le prochain épisode, vous allez connecter ces référentiels de stockage à votre référentiel de sauvegarde évolutif.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/back-up-and-archive-data-to-amazon-s3-with-veeam-backup-replication.html) | Administrateur AWS, propriétaire de l'application |
| Ajoutez le stockage Amazon S3 pour le niveau de capacité. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/back-up-and-archive-data-to-amazon-s3-with-veeam-backup-replication.html) | Administrateur AWS, propriétaire de l'application |
| Ajoutez le stockage S3 Glacier au niveau d'archivage. | Si vous souhaitez créer un niveau d'archivage, utilisez les autorisations IAM détaillées dans la section [Informations supplémentaires](#back-up-and-archive-data-to-amazon-s3-with-veeam-backup-replication-additional). [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/back-up-and-archive-data-to-amazon-s3-with-veeam-backup-replication.html) | Administrateur AWS, propriétaire de l'application |
### Ajoutez des référentiels de sauvegarde évolutifs
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Lancez l'assistant New Scale-Out Backup Repository. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/back-up-and-archive-data-to-amazon-s3-with-veeam-backup-replication.html) | Propriétaire de l'application, administrateur des systèmes AWS |
| Ajoutez un référentiel de sauvegarde évolutif et configurez les niveaux de capacité et d'archivage. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/back-up-and-archive-data-to-amazon-s3-with-veeam-backup-replication.html) | Propriétaire de l'application, administrateur des systèmes AWS |
## Ressources connexes
+ [Création d'un utilisateur IAM dans votre Compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) (documentation IAM)
+ [Création d'un compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) (documentation Amazon S3)
+ [Blocage de l'accès public à votre espace de stockage](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) Amazon S3 (documentation Amazon S3)
+ [Utilisation du verrouillage d'objets S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html) (documentation Amazon S3)
+ [Documentation technique de Veeam](https://www.veeam.com/documentation-guides-datasheets.html)
+ [Comment créer une politique IAM sécurisée pour la connexion au stockage d'objets S3 (documentation](https://www.veeam.com/kb3151) Veeam)
## Informations supplémentaires
Les sections suivantes fournissent des exemples de politiques IAM que vous pouvez utiliser lorsque vous créez un utilisateur IAM dans la section [Epics](#back-up-and-archive-data-to-amazon-s3-with-veeam-backup-replication-epics) de ce modèle.
**Politique IAM pour le niveau de capacité**
**Note**
Dans l'exemple de politique, remplacez le nom des compartiments S3 par le nom du `` compartiment S3 que vous souhaitez utiliser pour les sauvegardes au niveau de capacité de Veeam. Notez également que la politique doit être limitée aux ressources spécifiques utilisées par Veeam (indiquées dans les `Resource` spécifications de la politique suivante), et que la première partie de la politique désactive le chiffrement côté client, comme indiqué dans le billet de AWS blog [Empêcher le chiffrement involontaire des objets Amazon S3](https://aws.amazon.com/blogs/security/preventing-unintended-encryption-of-amazon-s3-objects/).
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "RestrictSSECObjectUploads",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::/*",
"Condition": {
"Null": {
"s3:x-amz-server-side-encryption-customer-algorithm": "false"
}
}
},
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:GetObjectVersion",
"s3:ListBucketVersions",
"s3:ListBucket",
"s3:PutObjectLegalHold",
"s3:GetBucketVersioning",
"s3:GetObjectLegalHold",
"s3:GetBucketObjectLockConfiguration",
"s3:PutObject*",
"s3:GetObject*",
"s3:GetEncryptionConfiguration",
"s3:PutObjectRetention",
"s3:PutBucketObjectLockConfiguration",
"s3:DeleteObject*",
"s3:DeleteObjectVersion",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::",
"arn:aws:s3:::/*"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::*"
}
]
}
```
**Politique IAM pour le niveau d'archivage**
**Note**
Dans l'exemple de politique, remplacez le nom des compartiments S3 par le nom du `` compartiment S3 que vous souhaitez utiliser pour les sauvegardes au niveau de l'archive Veeam.
**Pour utiliser votre VPC, votre sous-réseau et vos groupes de sécurité existants :**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "S3Permissions",
"Effect": "Allow",
"Action": [
"s3:DeleteObject",
"s3:PutObject",
"s3:GetObject",
"s3:RestoreObject",
"s3:ListBucket",
"s3:AbortMultipartUpload",
"s3:GetBucketVersioning",
"s3:ListAllMyBuckets",
"s3:GetBucketLocation",
"s3:GetBucketObjectLockConfiguration",
"s3:PutObjectRetention",
"s3:GetObjectVersion",
"s3:PutObjectLegalHold",
"s3:GetObjectRetention",
"s3:DeleteObjectVersion",
"s3:ListBucketVersions"
],
"Resource": [
"arn:aws:s3:::",
"arn:aws:s3:::/*"
]
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EC2Permissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:CreateKeyPair",
"ec2:DescribeKeyPairs",
"ec2:RunInstances",
"ec2:DeleteKeyPair",
"ec2:DescribeVpcAttribute",
"ec2:CreateTags",
"ec2:DescribeSubnets",
"ec2:TerminateInstances",
"ec2:DescribeSecurityGroups",
"ec2:DescribeImages",
"ec2:DescribeVpcs"
],
"Resource": "arn:aws:ec2:::*"
}
]
}
```
**Pour créer de nouveaux VPC, sous-réseaux et groupes de sécurité, procédez comme suit :**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "S3Permissions",
"Effect": "Allow",
"Action": [
"s3:DeleteObject",
"s3:PutObject",
"s3:GetObject",
"s3:RestoreObject",
"s3:ListBucket",
"s3:AbortMultipartUpload",
"s3:GetBucketVersioning",
"s3:ListAllMyBuckets",
"s3:GetBucketLocation",
"s3:GetBucketObjectLockConfiguration",
"s3:PutObjectRetention",
"s3:GetObjectVersion",
"s3:PutObjectLegalHold",
"s3:GetObjectRetention",
"s3:DeleteObjectVersion",
"s3:ListBucketVersions"
],
"Resource": [
"arn:aws:s3:::",
"arn:aws:s3:::/*"
]
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EC2Permissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:CreateKeyPair",
"ec2:DescribeKeyPairs",
"ec2:RunInstances",
"ec2:DeleteKeyPair",
"ec2:DescribeVpcAttribute",
"ec2:CreateTags",
"ec2:DescribeSubnets",
"ec2:TerminateInstances",
"ec2:DescribeSecurityGroups",
"ec2:DescribeImages",
"ec2:DescribeVpcs",
"ec2:CreateVpc",
"ec2:CreateSubnet",
"ec2:DescribeAvailabilityZones",
"ec2:CreateRoute",
"ec2:CreateInternetGateway",
"ec2:AttachInternetGateway",
"ec2:ModifyVpcAttribute",
"ec2:CreateSecurityGroup",
"ec2:DeleteSecurityGroup",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:DescribeRouteTables",
"ec2:DescribeInstanceTypes"
],
"Resource": "*"
}
]
}
```