AWS IAM ユーザー権限

Amazon EC2にリストアするには、AWSへの接続用のログイン情報を保有させるIAMユーザーに管理権限(AWSのすべてのアクションとリソースへのアクセス権)を付与することを推奨します。

AWSへのフルアクセス権を提供したくない場合は、IAMユーザーに対して、リストアできるだけの最小権限セットを付与することもできます。このためには、次のポリシーをJSON形式で作成して、IAMユーザーにアタッチします。

{

 "Version": "2012-10-17",

 "Statement": [{

  "Action": [

   "ec2:DescribeInstances"、

   "ec2:RunInstances"、

   "ec2:TerminateInstances"、

   "ec2:StartInstances"、

   "ec2:StopInstances"、

   "ec2:ModifyInstanceAttribute"、

   "ec2:DescribeImages"、

   "ec2:ImportImage"、

   "ec2:DeregisterImage"、

   "ec2:DescribeVolumes"、

   "ec2:CreateVolume"、

   "ec2:ModifyVolume"、

   "ec2:ImportVolume"、

   "ec2:DeleteVolume"、

   "ec2:AttachVolume"、

   "ec2:DetachVolume"、

   "ec2:CreateSnapshot"、

   "ec2:DescribeSnapshots"、

   "ec2:DeleteSnapshot"、

   "ec2:DescribeSubnets"、

   "ec2:DescribeNetworkInterfaces"、

   "ec2:DescribeSecurityGroups"、

   "ec2:DescribeKeyPairs"、

   "ec2:CreateKeyPair"、

   "ec2:DeleteKeyPair"、

   "ec2:DescribeAvailabilityZones"、

   "ec2:DescribeVpcs"、

   "ec2:DescribeConversionTasks"、

   "ec2:DescribeImportImageTasks"、

   "ec2:DescribeVolumesModifications"、

   "ec2:CancelImportTask"、

   "ec2:CancelConversionTask"、

   "ec2:CreateTags"、

   "ec2:DescribeAccountAttributes"、

   "ec2:DescribeDhcpOptions"、

   "ec2:DescribeVpcAttribute"、

   「iam:GetRole」、

   「iam:CreateRole」、

   "iam:PutRolePolicy"、

   "iam:DeleteRolePolicy"、

   "s3:CreateBucket"、

   "s3:ListBucket",

   "s3:ListAllMyBuckets",

   "s3:DeleteBucket"、

   "s3:PutObject",

   "s3:DeleteObject",

   "s3:GetBucketLocation",

   "s3:PutLifeCycleConfiguration"、

   "s3:GetObject",

   "s3:RestoreObject"、

   "s3:AbortMultiPartUpload"、

   "s3:ListBucketMultiPartUploads"、

   "s3:ListMultipartUploadParts"

  ]、

  Effect": "Allow",

  "Resource": "*"

 }]

}

または、IAMユーザーの割り当て先のIAMグループまたはロールに、作成したポリシーをアタッチすることもできます。

ポリシーを作成してIAMユーザーにアタッチする方法については、「AWS Identity and Access Managementユーザーガイド」の「IAMポリシーの作成」および「IAM IDのアクセス許可の追加および削除」のセクションを参照してください。