Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Standardmäßig verfügen Benutzer nicht über die Berechtigung, mit dem Papierkorb, mit Aufbewahrungsregeln oder mit Ressourcen, die sich im Papierkorb befinden, zu arbeiten. Damit Benutzer mit diesen Ressourcen arbeiten können, müssen Sie IAM-Richtlinien erstellen, die die Berechtigung zur Nutzung bestimmter Ressourcen und API-Aktionen gewähren. Nachdem die Richtlinien erstellt wurden, müssen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzufügen.
Themen
Berechtigungen zum Arbeiten mit dem Papierkorb und Aufbewahrungsregeln
Um mit Papierkorb- und Aufbewahrungsregeln arbeiten zu können, benötigen Benutzer die folgenden Berechtigungen.
-
rbin:CreateRule -
rbin:UpdateRule -
rbin:GetRule -
rbin:ListRules -
rbin:DeleteRule -
rbin:TagResource -
rbin:UntagResource -
rbin:ListTagsForResource -
rbin:LockRule -
rbin:UnlockRule
Um die Papierkorb-Konsole verwenden zu können, benötigen Benutzer die tag:GetResources-Berechtigung.
Es folgt eine IAM-Beispielrichtlinie, die die tag:GetResources-Berechtigung für Konsolenbenutzer enthält. Werden einige Berechtigungen nicht benötigt, können Sie sie aus der Richtlinie entfernen.
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"rbin:CreateRule",
"rbin:UpdateRule",
"rbin:GetRule",
"rbin:ListRules",
"rbin:DeleteRule",
"rbin:TagResource",
"rbin:UntagResource",
"rbin:ListTagsForResource",
"rbin:LockRule",
"rbin:UnlockRule",
"tag:GetResources"
],
"Resource": "*"
}]
}Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
-
Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.
-
Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen im IAM-Benutzerhandbuch.
-
IAM-Benutzer:
-
Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter Eine Rolle für einen IAM-Benutzer erstellen im IAM-Benutzerhandbuch.
-
(Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter Hinzufügen von Berechtigungen zu einem Benutzer (Konsole) im IAM-Benutzerhandbuch.
-
Berechtigungen zum Arbeiten mit Ressourcen im Papierkorb
Weitere Informationen zu den IAM-Berechtigungen, die für die Arbeit mit Ressourcen im Papierkorb erforderlich sind, finden Sie im folgenden Abschnitt:
Bedingungsschlüssel für den Papierkorb
Der Papierkorb definiert die folgenden Bedingungsschlüssel, die Sie im Condition-Element einer IAM-Richtlinie zur Kontrolle der Bedingungen, unter denen die Richtlinienanweisung angewendet wird, verwenden können. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Bedingung im IAM-Benutzerhandbuch.
rbin:Request/ResourceType-Bedingungsschlüssel
Der rbin:Request/ResourceType Bedingungsschlüssel kann verwendet werden, um ListRulesZugriffe CreateRuleund Anfragen auf der Grundlage des für den ResourceType Anforderungsparameter angegebenen Werts zu filtern.
Beispiel 1 — CreateRule
Das folgende Beispiel für eine IAM-Richtlinie ermöglicht es IAM-Prinzipalen, CreateRuleAnfragen nur zu stellen, wenn der für den ResourceType Anforderungsparameter angegebene Wert oder ist. EBS_SNAPSHOT EC2_IMAGE Auf diese Weise kann der Prinzipal neue Aufbewahrungsregeln nur für Snapshots erstellen. AMIs
{
"Version" : "2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" :[
"rbin:CreateRule"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"rbin:Request/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"]
}
}
}
]
}Beispiel 2 - ListRules
Das folgende Beispiel für eine IAM-Richtlinie ermöglicht es IAM-Prinzipalen, ListRulesAnfragen nur zu stellen, wenn der für den ResourceType Anforderungsparameter angegebene Wert EBS_SNAPSHOT Dies ermöglicht es dem Prinzipal, Aufbewahrungsregeln nur für Snapshots aufzulisten, und verhindert, dass er Aufbewahrungsregeln für jeden anderen Ressourcentyp auflisten kann.
{
"Version" : "2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" :[
"rbin:ListRules"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"rbin:Request/ResourceType" : "EBS_SNAPSHOT"
}
}
}
]
}rbin:Attribute/ResourceType-Bedingungsschlüssel
Der rbin:Attribute/ResourceType Bedingungsschlüssel kann verwendet werden, um den Zugriff auf DeleteRule,, GetRule, UpdateRule, LockRuleUnlockRuleTagResourceUntagResource, und ListTagsForResourceAnfragen basierend auf dem Wert des Attributs der Aufbewahrungsregel zu filtern. ResourceType
Beispiel 1 — UpdateRule
Das folgende Beispiel für eine IAM-Richtlinie ermöglicht es IAM-Prinzipalen, UpdateRuleAnfragen nur zu stellen, wenn das ResourceType Attribut der angeforderten Aufbewahrungsregel oder lautet. EBS_SNAPSHOT EC2_IMAGE Auf diese Weise kann der Prinzipal die Aufbewahrungsregeln nur für Snapshots aktualisieren. AMIs
{
"Version" : "2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" :[
"rbin:UpdateRule"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"rbin:Attribute/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"]
}
}
}
]
}Beispiel 2 — DeleteRule
Das folgende Beispiel für eine IAM-Richtlinie ermöglicht es IAM-Prinzipalen, DeleteRuleAnfragen nur zu stellen, wenn das ResourceType Attribut der angeforderten Aufbewahrungsregel EBS_SNAPSHOT Dies ermöglicht es dem Prinzipal, Aufbewahrungsregeln nur für Snapshots zu löschen.
{
"Version" : "2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" :[
"rbin:DeleteRule"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"rbin:Attribute/ResourceType" : "EBS_SNAPSHOT"
}
}
}
]
}