Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Steuern Sie den Zugriff auf den Papierkorb mit IAM
Standardmäßig verfügen Benutzer nicht über die Berechtigung, mit dem Papierkorb, mit Aufbewahrungsregeln oder mit Ressourcen, die sich im Papierkorb befinden, zu arbeiten. Damit Benutzer mit diesen Ressourcen arbeiten können, müssen Sie IAM Richtlinien erstellen, die die Erlaubnis zur Verwendung bestimmter Ressourcen und API Aktionen gewähren. Nachdem die Richtlinien erstellt wurden, müssen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzufügen.
Themen
Berechtigungen zum Arbeiten mit dem Papierkorb und Aufbewahrungsregeln
Um mit Papierkorb- und Aufbewahrungsregeln arbeiten zu können, benötigen Benutzer die folgenden Berechtigungen.
-
rbin:CreateRule -
rbin:UpdateRule -
rbin:GetRule -
rbin:ListRules -
rbin:DeleteRule -
rbin:TagResource -
rbin:UntagResource -
rbin:ListTagsForResource -
rbin:LockRule -
rbin:UnlockRule
Um die Papierkorb-Konsole verwenden zu können, benötigen Benutzer die tag:GetResources-Berechtigung.
Im Folgenden finden Sie ein Beispiel für eine IAM Richtlinie, die die tag:GetResources Berechtigung für Konsolenbenutzer beinhaltet. Werden einige Berechtigungen nicht benötigt, können Sie sie aus der Richtlinie entfernen.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "rbin:CreateRule", "rbin:UpdateRule", "rbin:GetRule", "rbin:ListRules", "rbin:DeleteRule", "rbin:TagResource", "rbin:UntagResource", "rbin:ListTagsForResource", "rbin:LockRule", "rbin:UnlockRule", "tag:GetResources" ], "Resource": "*" }] }
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
-
Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.
-
Benutzer, IAM die über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Folgen Sie den Anweisungen unter Erstellen einer Rolle für einen externen Identitätsanbieter (Verband) im IAMBenutzerhandbuch.
-
IAMBenutzer:
-
Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Folgen Sie den Anweisungen unter Eine Rolle für einen IAM Benutzer erstellen im IAMBenutzerhandbuch.
-
(Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Folgen Sie den Anweisungen unter Hinzufügen von Berechtigungen für einen Benutzer (Konsole) im IAMBenutzerhandbuch.
-
Berechtigungen zum Arbeiten mit Ressourcen im Papierkorb
Weitere Informationen zu den IAM Berechtigungen, die für die Arbeit mit Ressourcen im Papierkorb erforderlich sind, finden Sie im Folgenden:
Bedingungsschlüssel für den Papierkorb
Der Papierkorb definiert die folgenden Bedingungsschlüssel, die Sie im Condition Element einer IAM Richtlinie verwenden können, um die Bedingungen zu steuern, unter denen die Richtlinienerklärung gilt. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter IAMJSONRichtlinienelemente: Bedingung.
rbin:Request/ResourceType-Bedingungsschlüssel
Der rbin:Request/ResourceType Bedingungsschlüssel kann verwendet werden, um ListRulesZugriffe CreateRuleund Anfragen auf der Grundlage des für den ResourceType Anforderungsparameter angegebenen Werts zu filtern.
Beispiel 1 — CreateRule
Die folgende IAM Beispielrichtlinie ermöglicht es IAM Prinzipalen, CreateRuleAnfragen nur zu stellen, wenn der für den ResourceType Anforderungsparameter angegebene Wert EBS_SNAPSHOT oder EC2_IMAGE ist. Auf diese Weise kann der Prinzipal neue Aufbewahrungsregeln nur für Snapshots erstellen. AMIs
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:CreateRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Request/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"] } } } ] }
Beispiel 2 - ListRules
Die folgende IAM Beispielrichtlinie ermöglicht es IAM Prinzipalen, ListRulesAnfragen nur zu stellen, wenn der für den ResourceType Anforderungsparameter angegebene Wert lautetEBS_SNAPSHOT. Dies ermöglicht es dem Prinzipal, Aufbewahrungsregeln nur für Snapshots aufzulisten, und verhindert, dass er Aufbewahrungsregeln für jeden anderen Ressourcentyp auflisten kann.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:ListRules" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Request/ResourceType" : "EBS_SNAPSHOT" } } } ] }
rbin:Attribute/ResourceType-Bedingungsschlüssel
Der rbin:Attribute/ResourceType Bedingungsschlüssel kann verwendet werden, um den Zugriff auf DeleteRule, GetRule, UpdateRule, LockRule, UnlockRuleTagResourceUntagResource, und ListTagsForResourceAnfragen basierend auf dem Wert des ResourceType Attributs der Aufbewahrungsregel zu filtern.
Beispiel 1 — UpdateRule
Die folgende IAM Beispielrichtlinie ermöglicht es IAM Prinzipalen, UpdateRuleAnfragen nur zu stellen, wenn das ResourceType Attribut der angeforderten Aufbewahrungsregel EBS_SNAPSHOT oder EC2_IMAGE lautet. Auf diese Weise kann der Prinzipal die Aufbewahrungsregeln nur für Snapshots aktualisieren. AMIs
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:UpdateRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Attribute/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"] } } } ] }
Beispiel 2 — DeleteRule
Die folgende IAM Beispielrichtlinie ermöglicht es IAM Prinzipalen, DeleteRuleAnfragen nur zu stellen, wenn das ResourceType Attribut der angeforderten Aufbewahrungsregel EBS_SNAPSHOT Dies ermöglicht es dem Prinzipal, Aufbewahrungsregeln nur für Snapshots zu löschen.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:DeleteRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Attribute/ResourceType" : "EBS_SNAPSHOT" } } } ] }
