Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Steuern Sie den Zugriff auf Amazon EBS Snapshot Lock
<a name="snapshot-lock-iam"></a>

Standardmäßig sind Benutzer nicht dazu berechtigt, mit Snapshot-Sperren zu arbeiten. Um die Verwendung von Snapshot-Sperren für Benutzer zuzulassen, müssen Sie IAM-Richtlinien erstellen, die die Berechtigung zur Verwendung bestimmter Ressourcen und API-Aktionen gewähren. Weitere Informationen finden Sie unter [Erstellen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im IAM-Benutzerhandbuch.

**Topics**
+ [Erforderliche Berechtigungen](#snapshot-lock-req-perms)
+ [Beschränken des Zugriffs mit Bedingungsschlüsseln](#snapshot-lock-condition-keys)

## Erforderliche Berechtigungen
<a name="snapshot-lock-req-perms"></a>

Für das Arbeiten mit Snapshot-Sperren benötigen Benutzer die folgenden Berechtigungen.
+ `ec2:LockSnapshot` – Zum Sperren von Snapshots.
+ `ec2:UnlockSnapshot` – Zum Entsperren von Snapshots.
+ `ec2:DescribeLockedSnapshots` – Zum Anzeigen der Einstellungen für die Snapshot-Sperre.

Im Folgenden finden Sie ein Beispiel für eine IAM-Richtlinie, die Benutzern die Berechtigung zum Sperren und Entsperren von Snapshots sowie zum Anzeigen der Einstellungen der Snapshot-Sperre gewährt. Es umfasst die `ec2:DescribeSnapshots`-Berechtigung für Konsolenbenutzer. Werden einige Berechtigungen nicht benötigt, können Sie sie aus der Richtlinie entfernen.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowSnapshotLockOperations",
      "Effect": "Allow",
      "Action": [
        "ec2:LockSnapshot",
        "ec2:UnlockSnapshot",
        "ec2:DescribeLockedSnapshots",
        "ec2:DescribeSnapshots"
      ],
      "Resource": [
        "arn:aws:ec2:*::snapshot/*",
        "arn:aws:ec2:*:{{111122223333}}:volume/*"
      ]
    }
  ]
}
```

------

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
+ Benutzer und Gruppen in AWS IAM Identity Center:

  Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter [Erstellen eines Berechtigungssatzes](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
+ Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:

  Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter [Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) im *IAM-Benutzerhandbuch*.
+ IAM-Benutzer:
  + Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter [Eine Rolle für einen IAM-Benutzer erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) im *IAM-Benutzerhandbuch*.
  + (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter [Hinzufügen von Berechtigungen zu einem Benutzer (Konsole)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.

## Beschränken des Zugriffs mit Bedingungsschlüsseln
<a name="snapshot-lock-condition-keys"></a>

Mit Bedingungsschlüsseln können Sie einschränken, wie Benutzer Snapshots sperren dürfen.

**Topics**
+ [ec2: SnapshotLockDuration](#snapshotlockduration)
+ [ec2: CoolOffPeriod](#cooloffperiod)

### ec2: SnapshotLockDuration
<a name="snapshotlockduration"></a>

Sie können den Bedingungsschlüssel `ec2:SnapshotLockDuration` verwenden, um Benutzer beim Sperren von Snapshots auf eine bestimmte Sperrdauer zu beschränken.

Die folgende Beispielrichtlinie schränkt die Angabe einer Sperrdauer durch Benutzer auf eine Dauer zwischen `10` und `50` Tagen ein.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowSnapshotLockWithDurationCondition",
      "Effect": "Allow",
      "Action": "ec2:LockSnapshot",
      "Resource": "arn:aws:ec2:*::snapshot/*",
      "Condition": {
        "NumericGreaterThan": {
          "ec2:SnapshotLockDuration": 10
        },
        "NumericLessThan": {
          "ec2:SnapshotLockDuration": 50
        }
      }
    }
  ]
}
```

------

### ec2: CoolOffPeriod
<a name="cooloffperiod"></a>

Sie können den Bedingungsschlüssel `ec2:CoolOffPeriod` verwenden, um zu verhindern, dass Benutzer Snapshots im Compliance-Modus ohne Sperrfrist sperren.

Die folgende Beispielrichtlinie verhindert, dass Benutzer beim Sperren von Snapshots im Compliance-Modus eine Sperrfrist von mehr als `48` Stunden angeben.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowSnapshotLockWithCondition",
      "Effect": "Allow",
      "Action": "ec2:LockSnapshot",
      "Resource": "arn:aws:ec2:*::snapshot/*",
      "Condition": {
        "NumericGreaterThan": {
          "ec2:SnapshotTime": 48
        }
      }
    }
  ]
}
```

------