我需要自动备份一个Linux AWS实例。 我想通过依赖AWS的API访问的许多可用脚本之一来执行此操作,以执行底层EBS卷的快照。
我遇到麻烦的是,是否应该在实例上运行这些脚本/启用API访问,在另一个实例上,甚至是从AWS外部的主机上进行备份? 什么更安全?
[1] https://github.com/colinbjohnson/aws-missing-tools/tree/master/ec2-automate-backup
如果您创build只能创build快照的IAM用户(或实例angular色,如果您愿意的话) – 除此之外的任何其他操作(包括删除操作),并使用该用户的访问密钥,则几乎无关紧要。
即使你的密钥泄漏到4chan,他们可以做的最糟糕的事情就是制作一大堆快照。
以下是IAM策略的一个示例:
{ "Statement": [{ "Action": [ "ec2:CreateSnapshot" ], "Effect": "Allow", "Resource": "*" }] }