Controlla l'accesso a Recycle Bin con IAM - Amazon EBS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlla l'accesso a Recycle Bin con IAM

Per impostazione predefinita, gli utenti non dispongono dell'autorizzazione per usare il Cestino di riciclaggio, le regole di conservazione o gli snapshot presenti nel Cestino di riciclaggio. Per permettere agli utenti di utilizzare queste risorse, è necessario creare delle policy IAM che forniscano l'autorizzazione per l'uso di risorse e operazioni API specifiche. Dopo aver creato le politiche, è necessario aggiungere le autorizzazioni agli utenti, ai gruppi o ai ruoli.

Autorizzazioni per usare il Cestino di riciclaggio e le regole di conservazione

Per usare il Cestino di riciclaggio e le regole di conservazione, gli utenti devono disporre delle seguenti autorizzazioni.

  • rbin:CreateRule

  • rbin:UpdateRule

  • rbin:GetRule

  • rbin:ListRules

  • rbin:DeleteRule

  • rbin:TagResource

  • rbin:UntagResource

  • rbin:ListTagsForResource

  • rbin:LockRule

  • rbin:UnlockRule

Per usare la console del Cestino di riciclaggio, gli utenti devono disporre dell'autorizzazione tag:GetResources.

Di seguito è riportata una policy IAM di esempio che include l'autorizzazione tag:GetResources per gli utenti della console. Se qualche autorizzazione non è necessaria, puoi rimuoverla dalla policy.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "rbin:CreateRule", "rbin:UpdateRule", "rbin:GetRule", "rbin:ListRules", "rbin:DeleteRule", "rbin:TagResource", "rbin:UntagResource", "rbin:ListTagsForResource", "rbin:LockRule", "rbin:UnlockRule", "tag:GetResources" ], "Resource": "*" }] }

Per fornire l'accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:

  • Utenti e gruppi in AWS IAM Identity Center:

    Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .

  • Utenti gestiti in IAM tramite un provider di identità:

    Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Create a role for a third-party identity provider (federation) della Guida per l'utente IAM.

  • Utenti IAM:

Autorizzazioni per usare le risorse nel Cestino di riciclaggio

Per ulteriori dettagli sulle autorizzazioni IAM necessarie per usare le risorse nel Cestino di riciclaggio, consulta gli argomenti seguenti:

Chiavi di condizione per il Cestino

Il Cestino definisce le seguenti chiavi di condizione che puoi utilizzare nell'elemento Condition di una policy IAM per controllare le condizioni in base alle quali si applica l'istruzione di policy. Per ulteriori informazioni, consulta la sezione Elementi delle policy JSON di IAM: condizione nella Guida per l'utente IAM.

Chiave di condizione rbin:Request/ResourceType

La chiave di rbin:Request/ResourceType condizione può essere utilizzata per filtrare l'accesso CreateRulee ListRulesle richieste in base al valore specificato per il parametro di ResourceType richiesta.

Esempio 1 - CreateRule

Il seguente esempio di policy IAM consente ai presidi IAM di effettuare CreateRulerichieste solo se il valore specificato per il parametro di ResourceType richiesta è EBS_SNAPSHOT oEC2_IMAGE. Ciò consente al responsabile di creare nuove regole di conservazione solo per le istantanee AMIs .

{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:CreateRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Request/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"] } } } ] }
Esempio 2 - ListRules

Il seguente esempio di policy IAM consente ai presidi IAM di effettuare ListRulesrichieste solo se il valore specificato per il parametro di ResourceType richiesta èEBS_SNAPSHOT. Ciò consente al principale di elencare le regole di conservazione solo per gli snapshot e impedisce loro di elencare le regole di conservazione per qualsiasi altro tipo di risorsa.

{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:ListRules" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Request/ResourceType" : "EBS_SNAPSHOT" } } } ] }

Chiave di condizione rbin:Attribute/ResourceType

La chiave rbin:Attribute/ResourceType condizionale può essere utilizzata per filtrare l'accesso a DeleteRuleGetRule, UpdateRule, LockRule, UnlockRule, TagResourceUntagResource, e ListTagsForResourcele richieste in base al valore dell'ResourceTypeattributo della regola di conservazione.

Esempio 1 - UpdateRule

Il seguente esempio di policy IAM consente ai responsabili IAM di effettuare UpdateRulerichieste solo se l'ResourceTypeattributo della regola di conservazione richiesta è EBS_SNAPSHOT oEC2_IMAGE. Ciò consente al responsabile di aggiornare le regole di conservazione solo per le istantanee AMIs .

{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:UpdateRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Attribute/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"] } } } ] }
Esempio 2 - DeleteRule

Il seguente esempio di policy IAM consente ai responsabili IAM di effettuare DeleteRulerichieste solo se l'ResourceTypeattributo della regola di conservazione richiesta èEBS_SNAPSHOT. Ciò consente al principale di eliminare le regole di conservazione solo per gli snapshot e le AMI.

{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:DeleteRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Attribute/ResourceType" : "EBS_SNAPSHOT" } } } ] }