AWS IAM ユーザー権限
Amazon EC2にリストアするには、AWSへの接続用のログイン情報を保有させるIAMユーザーに管理権限(AWSのすべてのアクションとリソースへのアクセス権)を付与することを推奨します。
AWSへのフルアクセス権を提供したくない場合は、IAMユーザーに対して、リストアできるだけの最小権限セットを付与することもできます。このためには、次のポリシーをJSON形式で作成して、IAMユーザーにアタッチします。
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "ec2:DescribeInstances"、 "ec2:RunInstances"、 "ec2:TerminateInstances"、 "ec2:StartInstances"、 "ec2:StopInstances"、 "ec2:ModifyInstanceAttribute"、 "ec2:DescribeImages"、 "ec2:ImportImage"、 "ec2:DeregisterImage"、 "ec2:DescribeVolumes"、 "ec2:CreateVolume"、 "ec2:ModifyVolume"、 "ec2:ImportVolume"、 "ec2:DeleteVolume"、 "ec2:AttachVolume"、 "ec2:DetachVolume"、 "ec2:CreateSnapshot"、 "ec2:DescribeSnapshots"、 "ec2:DeleteSnapshot"、 "ec2:DescribeSubnets"、 "ec2:DescribeNetworkInterfaces"、 "ec2:DescribeSecurityGroups"、 "ec2:DescribeKeyPairs"、 "ec2:CreateKeyPair"、 "ec2:DeleteKeyPair"、 "ec2:DescribeAvailabilityZones"、 "ec2:DescribeVpcs"、 "ec2:DescribeConversionTasks"、 "ec2:DescribeImportImageTasks"、 "ec2:DescribeVolumesModifications"、 "ec2:CancelImportTask"、 "ec2:CancelConversionTask"、 "ec2:CreateTags"、 "ec2:DescribeAccountAttributes"、 "ec2:DescribeDhcpOptions"、 "ec2:DescribeVpcAttribute"、 「iam:GetRole」、 「iam:CreateRole」、 "iam:PutRolePolicy"、 "iam:DeleteRolePolicy"、 "s3:CreateBucket"、 "s3:ListBucket", "s3:ListAllMyBuckets", "s3:DeleteBucket"、 "s3:PutObject", "s3:DeleteObject", "s3:GetBucketLocation", "s3:PutLifeCycleConfiguration"、 "s3:GetObject", "s3:RestoreObject"、 "s3:AbortMultiPartUpload"、 "s3:ListBucketMultiPartUploads"、 "s3:ListMultipartUploadParts" ]、 Effect": "Allow", "Resource": "*" }] } |
または、IAMユーザーの割り当て先のIAMグループまたはロールに、作成したポリシーをアタッチすることもできます。
ポリシーを作成してIAMユーザーにアタッチする方法については、「AWS Identity and Access Managementユーザーガイド」の「IAMポリシーの作成」および「IAM IDのアクセス許可の追加および削除」のセクションを参照してください。