Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôlez l'accès à la corbeille avec IAM
Par défaut, les utilisateurs ne sont pas autorisés à utiliser la corbeille, les règles de rétention ou les ressources contenues dans la corbeille. Pour permettre aux utilisateurs de travailler avec ces ressources, vous devez créer des politiques IAM qui accordent l’autorisation d’utiliser des ressources et des actions d’API spécifiques. Une fois les politiques créées, vous devez ajouter des autorisations à vos utilisateurs, groupes ou rôles.
Rubriques
Autorisations pour utiliser la corbeille et les règles de rétention
Pour utiliser la corbeille et les règles de rétention, les utilisateurs ont besoin des autorisations suivantes.
-
rbin:CreateRule -
rbin:UpdateRule -
rbin:GetRule -
rbin:ListRules -
rbin:DeleteRule -
rbin:TagResource -
rbin:UntagResource -
rbin:ListTagsForResource -
rbin:LockRule -
rbin:UnlockRule
Pour utiliser la console de la corbeille, les utilisateurs ont besoin de l’autorisation tag:GetResources.
Voici un exemple de politique IAM qui inclut l’autorisation tag:GetResources pour les utilisateurs de la console. Si certaines autorisations ne sont pas nécessaires, vous pouvez les supprimer de la politique.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "rbin:CreateRule", "rbin:UpdateRule", "rbin:GetRule", "rbin:ListRules", "rbin:DeleteRule", "rbin:TagResource", "rbin:UntagResource", "rbin:ListTagsForResource", "rbin:LockRule", "rbin:UnlockRule", "tag:GetResources" ], "Resource": "*" }] }
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
-
Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique Création d’un jeu d’autorisations du Guide de l’utilisateur AWS IAM Identity Center .
-
Utilisateurs gérés dans IAM par un fournisseur d’identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique Création d’un rôle pour un fournisseur d’identité tiers (fédération) dans le Guide de l’utilisateur IAM.
-
Utilisateurs IAM :
-
Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique Création d’un rôle pour un utilisateur IAM dans le Guide de l’utilisateur IAM.
-
(Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique Ajout d’autorisations à un utilisateur (console) du Guide de l’utilisateur IAM.
-
Autorisations pour utiliser des ressources dans la corbeille
Pour plus d’informations sur les autorisations IAM nécessaires pour travailler avec les ressources de la corbeille, reportez-vous aux rubriques suivantes :
Clés de condition pour la corbeille
La corbeille définit les clés de condition suivantes que vous pouvez utiliser dans l’élément Condition d’une politique IAM pour contrôler les conditions d’application de l’instruction de stratégie. Pour plus d’informations, consultez Conditions pour éléments de politique JSON IAM dans le Guide de l’utilisateur IAM.
Clé de condition rbin:Request/ResourceType
La clé de rbin:Request/ResourceType condition peut être utilisée pour filtrer l'accès CreateRuleet les ListRulesdemandes en fonction de la valeur spécifiée pour le paramètre de ResourceType demande.
Exemple 1 - CreateRule
L'exemple de politique IAM suivant permet aux principaux IAM de faire des CreateRuledemandes uniquement si la valeur spécifiée pour le paramètre de ResourceType demande est ou. EBS_SNAPSHOT EC2_IMAGE Cela permet au principal de créer de nouvelles règles de conservation pour les instantanés et AMIs uniquement.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:CreateRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Request/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"] } } } ] }
Exemple 2 - ListRules
L'exemple de politique IAM suivant permet aux principaux IAM de faire des ListRulesdemandes uniquement si la valeur spécifiée pour le paramètre de ResourceType demande est. EBS_SNAPSHOT Cela permet au principal de répertorier les règles de rétention pour les instantanés uniquement, et cela les empêche de répertorier les règles de rétention pour tout autre type de ressource.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:ListRules" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Request/ResourceType" : "EBS_SNAPSHOT" } } } ] }
Clé de condition rbin:Attribute/ResourceType
La clé de rbin:Attribute/ResourceType condition peut être utilisée pour filtrer l'accès sur DeleteRule, GetRule, UpdateRule, LockRule, UnlockRule, TagResourceUntagResource, et les ListTagsForResourcedemandes en fonction de la valeur de l'ResourceTypeattribut de la règle de rétention.
Exemple 1 - UpdateRule
L'exemple de politique IAM suivant permet aux principaux IAM de faire des UpdateRuledemandes uniquement si l'ResourceTypeattribut de la règle de rétention demandée est ou. EBS_SNAPSHOT EC2_IMAGE Cela permet au principal de mettre à jour les règles de conservation pour les instantanés et AMIs uniquement.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:UpdateRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Attribute/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"] } } } ] }
Exemple 2 - DeleteRule
L'exemple de politique IAM suivant permet aux principaux IAM de faire des DeleteRuledemandes uniquement si l'ResourceTypeattribut de la règle de rétention demandée est. EBS_SNAPSHOT Cela permet au principal de supprimer des règles de rétention pour les instantanés uniquement.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:DeleteRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Attribute/ResourceType" : "EBS_SNAPSHOT" } } } ] }
