翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
IAM でごみ箱へのアクセスを制御する
デフォルトでは、ユーザーには、ごみ箱、保持ルール、またはごみ箱にあるリソースを操作する許可はありません。ユーザーがこれらのリソースを使用できるようにするには、特定のリソースと IAM アクションを使用するアクセス許可を付与する API ポリシーを作成する必要があります。ポリシーを作成したら、ユーザー、グループ、ロールにアクセス許可を追加する必要があります。
ごみ箱および保持ルールを操作するための許可
ごみ箱と保持ルールを使用するには、次の許可をユーザーに付与する必要があります。
-
rbin:CreateRule -
rbin:UpdateRule -
rbin:GetRule -
rbin:ListRules -
rbin:DeleteRule -
rbin:TagResource -
rbin:UntagResource -
rbin:ListTagsForResource -
rbin:LockRule -
rbin:UnlockRule
ごみ箱コンソールを使用するには、ユーザーに tag:GetResources 許可が必要です。
以下は、コンソールユーザーの アクセスtag:GetResources許可を含む IAM ポリシーの例です。一部の許可が不要な場合は、ポリシーから削除できます。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "rbin:CreateRule", "rbin:UpdateRule", "rbin:GetRule", "rbin:ListRules", "rbin:DeleteRule", "rbin:TagResource", "rbin:UntagResource", "rbin:ListTagsForResource", "rbin:LockRule", "rbin:UnlockRule", "tag:GetResources" ], "Resource": "*" }] }
アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
-
以下のユーザーとグループ AWS IAM Identity Center:
アクセス許可セットを作成します。「AWS IAM Identity Center ユーザーガイド」の「権限設定を作成する」の手順に従ってください。
-
ID プロバイダーを通じて IAM で管理されるユーザー:
ID フェデレーションのロールを作成します。IAM ユーザーガイドの「サードパーティー ID プロバイダー (フェデレーション) のロールを作成する」の手順に従います。
-
IAM ユーザー:
-
ユーザーが担当できるロールを作成します。Word ユーザーガイドのIAM ユーザーのロールを作成する」の手順に従います。 IAM
-
(お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加する。IAM ユーザーガイドの「ユーザーへのアクセス許可の追加 (コンソール)」の手順に従います。
-
ごみ箱内のリソースを操作するための許可
ごみ箱内のリソースを操作するために必要な IAM アクセス許可の詳細については、以下を参照してください。
[Condition keys for Recycle Bin] (ごみ箱の条件キー)
ごみ箱では、IAM ポリシーの Condition要素で使用できる以下の条件キーを定義し、ポリシーステートメントが適用される条件を制御します。詳細については、JSONIAM ユーザーガイド」の「Word ポリシーの要素: 条件」を参照してください。 IAM
rbin:Request/ResourceType 条件キー
rbin:Request/ResourceType 条件キーを使用して、リクエストパラメータに指定された値に基づいて、CreateRule および ListRules ResourceTypeリクエストへのアクセスをフィルタリングできます。
例 1 - CreateRule
次のサンプル IAM ポリシーでは、リクエストパラメータに指定された値が EBS_SNAPSHOTまたは の場合にのみ、IAM プリンシパルが CreateRule ResourceTypeリクエストを行うことを許可しますEC2_IMAGE。これにより、プリンシパルはスナップショットと AMIs のみの新しい保持ルールを作成できます。
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:CreateRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Request/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"] } } } ] }
例 2 - ListRules
次のサンプル IAM ポリシーでは、リクエストパラメータに指定された値が である場合にのみ、IAM プリンシパルが ListRules ResourceTypeリクエストを行うことを許可しますEBS_SNAPSHOT。これにより、プリンシパルはスナップショットの保存ルールのみを一覧表示でき、他のリソースタイプの保存ルールを一覧表示できなくなります。
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:ListRules" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Request/ResourceType" : "EBS_SNAPSHOT" } } } ] }
rbin:Attribute/ResourceType 条件キー
rbin:Attribute/ResourceType 条件キーは、保持ルールの ResourceType 属性の値に基づいて、DeleteRule、GetRule、UpdateRule、LockRule、UnlockRule、TagResource、UntagResource、ListTagsForResource リクエストへのアクセスをフィルタリングするために使用できます。
例 1 - UpdateRule
次のサンプル IAM ポリシーでは、IAMされた保持ルールの ResourceType 属性が EBS_SNAPSHOTまたは の場合にのみ、Word プリンシパルが UpdateRule リクエストを行うことを許可しますEC2_IMAGE。これにより、プリンシパルはスナップショットと AMIs のみの保持ルールを更新できます。
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:UpdateRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Attribute/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"] } } } ] }
例 2 - DeleteRule
次のサンプル IAM ポリシーでは、IAMされた保持ルールの ResourceType 属性が である場合にのみ、Word プリンシパルが DeleteRule リクエストを行うことを許可しますEBS_SNAPSHOT。これにより、プリンシパルはスナップショットの保存ルールのみを削除できます。
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:DeleteRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Attribute/ResourceType" : "EBS_SNAPSHOT" } } } ] }
