Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlla l'accesso a Recycle Bin con IAM
Per impostazione predefinita, gli utenti non dispongono dell'autorizzazione per usare il Cestino di riciclaggio, le regole di conservazione o gli snapshot presenti nel Cestino di riciclaggio. Per permettere agli utenti di utilizzare queste risorse, è necessario creare delle policy IAM che forniscano l'autorizzazione per l'uso di risorse e operazioni API specifiche. Dopo aver creato le politiche, è necessario aggiungere le autorizzazioni agli utenti, ai gruppi o ai ruoli.
Argomenti
Autorizzazioni per usare il Cestino di riciclaggio e le regole di conservazione
Per usare il Cestino di riciclaggio e le regole di conservazione, gli utenti devono disporre delle seguenti autorizzazioni.
-
rbin:CreateRule
-
rbin:UpdateRule
-
rbin:GetRule
-
rbin:ListRules
-
rbin:DeleteRule
-
rbin:TagResource
-
rbin:UntagResource
-
rbin:ListTagsForResource
-
rbin:LockRule
-
rbin:UnlockRule
Per usare la console del Cestino di riciclaggio, gli utenti devono disporre dell'autorizzazione tag:GetResources
.
Di seguito è riportata una policy IAM di esempio che include l'autorizzazione tag:GetResources
per gli utenti della console. Se qualche autorizzazione non è necessaria, puoi rimuoverla dalla policy.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "rbin:CreateRule", "rbin:UpdateRule", "rbin:GetRule", "rbin:ListRules", "rbin:DeleteRule", "rbin:TagResource", "rbin:UntagResource", "rbin:ListTagsForResource", "rbin:LockRule", "rbin:UnlockRule", "tag:GetResources" ], "Resource": "*" }] }
Per fornire l'accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
-
Utenti e gruppi in AWS IAM Identity Center:
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
-
Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Create a role for a third-party identity provider (federation) della Guida per l'utente IAM.
-
Utenti IAM:
-
Crea un ruolo che l'utente possa assumere. Segui le istruzioni riportate nella pagina Create a role for an IAM user della Guida per l'utente IAM.
-
(Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina Aggiunta di autorizzazioni a un utente (console) nella Guida per l'utente IAM.
-
Autorizzazioni per usare le risorse nel Cestino di riciclaggio
Per ulteriori dettagli sulle autorizzazioni IAM necessarie per usare le risorse nel Cestino di riciclaggio, consulta gli argomenti seguenti:
Chiavi di condizione per il Cestino
Il Cestino definisce le seguenti chiavi di condizione che puoi utilizzare nell'elemento Condition
di una policy IAM per controllare le condizioni in base alle quali si applica l'istruzione di policy. Per ulteriori informazioni, consulta la sezione Elementi delle policy JSON di IAM: condizione nella Guida per l'utente IAM.
Argomenti
Chiave di condizione rbin:Request/ResourceType
La chiave di rbin:Request/ResourceType
condizione può essere utilizzata per filtrare l'accesso CreateRulee ListRulesle richieste in base al valore specificato per il parametro di ResourceType
richiesta.
Esempio 1 - CreateRule
Il seguente esempio di policy IAM consente ai presidi IAM di effettuare CreateRulerichieste solo se il valore specificato per il parametro di ResourceType
richiesta è EBS_SNAPSHOT
oEC2_IMAGE
. Ciò consente al responsabile di creare nuove regole di conservazione solo per le istantanee AMIs .
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:CreateRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Request/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"] } } } ] }
Esempio 2 - ListRules
Il seguente esempio di policy IAM consente ai presidi IAM di effettuare ListRulesrichieste solo se il valore specificato per il parametro di ResourceType
richiesta èEBS_SNAPSHOT
. Ciò consente al principale di elencare le regole di conservazione solo per gli snapshot e impedisce loro di elencare le regole di conservazione per qualsiasi altro tipo di risorsa.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:ListRules" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Request/ResourceType" : "EBS_SNAPSHOT" } } } ] }
Chiave di condizione rbin:Attribute/ResourceType
La chiave rbin:Attribute/ResourceType
condizionale può essere utilizzata per filtrare l'accesso a DeleteRuleGetRule, UpdateRule, LockRule, UnlockRule, TagResourceUntagResource, e ListTagsForResourcele richieste in base al valore dell'ResourceType
attributo della regola di conservazione.
Esempio 1 - UpdateRule
Il seguente esempio di policy IAM consente ai responsabili IAM di effettuare UpdateRulerichieste solo se l'ResourceType
attributo della regola di conservazione richiesta è EBS_SNAPSHOT
oEC2_IMAGE
. Ciò consente al responsabile di aggiornare le regole di conservazione solo per le istantanee AMIs .
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:UpdateRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Attribute/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"] } } } ] }
Esempio 2 - DeleteRule
Il seguente esempio di policy IAM consente ai responsabili IAM di effettuare DeleteRulerichieste solo se l'ResourceType
attributo della regola di conservazione richiesta èEBS_SNAPSHOT
. Ciò consente al principale di eliminare le regole di conservazione solo per gli snapshot e le AMI.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:DeleteRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Attribute/ResourceType" : "EBS_SNAPSHOT" } } } ] }