기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
를 사용하여 휴지통에 대한 액세스 제어 IAM
기본적으로 사용자는 휴지통, 보존 규칙 또는 휴지통에 있는 리소스로 작업할 수 있는 권한이 없습니다. 사용자가 이러한 리소스로 작업할 수 있도록 하려면 특정 리소스 및 API 작업을 사용할 수 있는 권한을 부여하는 IAM 정책을 생성해야 합니다. 정책이 생성된 후에는 사용자, 그룹 또는 역할에 권한을 추가해야 합니다.
휴지통 및 보존 규칙 작업을 위한 권한
휴지통과 보존 규칙을 사용하려면 사용자에게 다음 권한이 필요합니다.
-
rbin:CreateRule -
rbin:UpdateRule -
rbin:GetRule -
rbin:ListRules -
rbin:DeleteRule -
rbin:TagResource -
rbin:UntagResource -
rbin:ListTagsForResource -
rbin:LockRule -
rbin:UnlockRule
휴지통 콘솔을 사용하려면 사용자에게 tag:GetResources 권한이 필요합니다.
다음은 콘솔 사용자에 대한 tag:GetResources 권한을 포함하는 IAM 정책 예제입니다. 일부 권한이 필요하지 않은 경우 정책에서 권한을 제거할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "rbin:CreateRule", "rbin:UpdateRule", "rbin:GetRule", "rbin:ListRules", "rbin:DeleteRule", "rbin:TagResource", "rbin:UntagResource", "rbin:ListTagsForResource", "rbin:LockRule", "rbin:UnlockRule", "tag:GetResources" ], "Resource": "*" }] }
액세스 권한을 제공하려면 사용자, 그룹 또는 역할에 권한을 추가하세요:
-
의 사용자 및 그룹 AWS IAM Identity Center:
권한 세트를 생성합니다. AWS IAM Identity Center 사용 설명서의 권한 세트 생성의 지침을 따릅니다.
-
자격 증명 공급자를 IAM 통해에서 관리되는 사용자:
ID 페더레이션을 위한 역할을 생성합니다. IAM 사용 설명서의 서드 파티 자격 증명 공급자(페더레이션)에 대한 역할 생성의 지침을 따릅니다.
-
IAM 사용자:
-
사용자가 맡을 수 있는 역할을 생성합니다. IAM 사용 설명서의 IAM 사용자에 대한 역할 생성의 지침을 따릅니다.
-
(권장되지 않음)정책을 사용자에게 직접 연결하거나 사용자를 사용자 그룹에 추가합니다. IAM 사용 설명서의 사용자(콘솔)에 권한 추가의 지침을 따릅니다.
-
휴지통의 리소스 작업을 위한 권한
휴지통의 리소스 작업에 필요한 IAM 권한에 대한 자세한 내용은 다음을 참조하세요.
휴지통에 사용되는 조건 키
휴지통은 IAM 정책 문이 적용되는 조건을 제어하기 위해 정책의 Condition 요소에 사용할 수 있는 다음과 같은 조건 키를 정의합니다. 자세한 내용은 IAM 사용 설명서의 IAM JSON 정책 요소: 조건을 참조하세요.
rbin:Request/ResourceType 조건 키
rbin:Request/ResourceType 조건 키를 사용하여 ListRules 요청 파라미터에 지정된 값을 기반으로 CreateRule 및 ResourceType 요청에 대한 액세스를 필터링할 수 있습니다.
예제 1 - CreateRule
다음 샘플 IAM 정책은 보안 IAM 주체가 CreateRule 요청 파라미터에 지정된 값이 EBS_SNAPSHOT 또는 인 경우에만 ResourceType 요청을 수행할 수 있도록 허용합니다EC2_IMAGE. 이렇게 하면 보안 주체가 스냅샷 및 AMIs 에만 새 보존 규칙을 생성할 수 있습니다.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:CreateRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Request/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"] } } } ] }
예제 2 - ListRules
다음 샘플 IAM 정책은 ListRules 요청 파라미터에 지정된 값이 인 경우에만 IAM 보안 주체가 ResourceType 요청을 할 수 있도록 허용합니다EBS_SNAPSHOT. 이렇게 하면 보안 주체가 스냅샷에 대해서만 보존 규칙을 나열할 수 있으며 다른 리소스 유형에 대한 보존 규칙을 나열할 수 없습니다.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:ListRules" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Request/ResourceType" : "EBS_SNAPSHOT" } } } ] }
rbin:Attribute/ResourceType 조건 키
rbin:Attribute/ResourceType 조건 키를 사용하여 보존 규칙 속성의 값을 기반으로 DeleteRule, GetRule, UpdateRule, LockRule, UnlockRuleTagResourceUntagResource, 및 ListTagsForResource 요청에 대한 액세스를 필터링할 수 있습니다ResourceType.
예제 1 - UpdateRule
다음 샘플 IAM 정책은 요청된 보존 규칙의 ResourceType 속성이 EBS_SNAPSHOT 또는 인 경우에만 IAM 보안 주체가 UpdateRule 요청할 수 있도록 허용합니다EC2_IMAGE. 이렇게 하면 보안 주체가 스냅샷 및에 대한 보존 규칙AMIs만 업데이트할 수 있습니다.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:UpdateRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Attribute/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"] } } } ] }
예제 2 - DeleteRule
다음 샘플 IAM 정책은 요청된 보존 규칙의 ResourceType 속성이 인 경우에만 IAM 보안 주체가 DeleteRule 요청할 수 있도록 허용합니다EBS_SNAPSHOT. 이렇게 하면 보안 주체가 스냅샷에 대해서만 보존 규칙을 삭제할 수 있습니다.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:DeleteRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Attribute/ResourceType" : "EBS_SNAPSHOT" } } } ] }
