As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Permissões do IAM necessárias para arquivar snapshots do Amazon EBS Por padrão, os usuários não têm permissão para usar o arquivamento de snapshots. Para permitir que os usuários usem arquivamento de snapshots, crie políticas do IAM que concedam permissão para o uso dos recursos e ações de API específicos. Para obter mais informações, consulte [Criar políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no Guia do usuário do IAM. Para usar o arquivamento de snapshots, os usuários precisam das permissões a seguir. + `ec2:DescribeSnapshotTierStatus` + `ec2:ModifySnapshotTier` + `ec2:RestoreSnapshotTier` Os usuários do console podem precisar de permissões adicionais, como `ec2:DescribeSnapshots`. Para arquivar e restaurar instantâneos criptografados, as seguintes AWS KMS permissões adicionais são necessárias. + `kms:CreateGrant` + `kms:Decrypt` + `kms:DescribeKey` A seguir está um exemplo de política do IAM que dá aos usuários do IAM permissão para arquivar, restaurar e visualizar snapshots criptografados e não criptografados. Isso inclui a permissão `ec2:DescribeSnapshots` para usuários do console. Se algumas permissões não forem necessárias, você poderá removê-las da política. **dica** Para seguir o princípio de menor privilégio, não permita acesso total a `kms:CreateGrant`. Em vez disso, use a chave de `kms:GrantIsForAWSResource` condição para permitir que o usuário crie concessões na chave KMS somente quando a concessão for criada em nome do usuário por um AWS serviço, conforme mostrado no exemplo a seguir. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeSnapshotTierStatus", "ec2:ModifySnapshotTier", "ec2:RestoreSnapshotTier", "ec2:DescribeSnapshots", "kms:CreateGrant", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } }] } ``` ------ Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis: + Usuários e grupos em Centro de Identidade do AWS IAM: Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM *. + Usuários gerenciados no IAM com provedor de identidades: Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*. + Usuários do IAM: + Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*. + (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.