As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controlar o acesso à Lixeira com o IAM
Por padrão, os usuários não têm permissão para trabalhar com a Lixeira, com as regras de retenção nem com os recursos que estão na Lixeira. Para permitir que os usuários trabalhem com esses recursos, você deve criar políticas do IAM que concedam permissão para o uso de recursos e ações de API específicos. Depois que as políticas forem criadas, você deverá adicionar permissões para os usuários, grupos ou perfis.
Tópicos
Permissões para trabalhar com a Lixeira e com regras de retenção
Para trabalhar com a Lixeira e com regras de retenção, os usuários precisam das permissões a seguir.
-
rbin:CreateRule -
rbin:UpdateRule -
rbin:GetRule -
rbin:ListRules -
rbin:DeleteRule -
rbin:TagResource -
rbin:UntagResource -
rbin:ListTagsForResource -
rbin:LockRule -
rbin:UnlockRule
Para usar o console da Lixeira, os usuários precisam ter a permissão tag:GetResources.
A seguir está um exemplo de política do IAM que inclui a permissão tag:GetResources para usuários do console. Se algumas permissões não forem necessárias, você poderá removê-las da política.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "rbin:CreateRule", "rbin:UpdateRule", "rbin:GetRule", "rbin:ListRules", "rbin:DeleteRule", "rbin:TagResource", "rbin:UntagResource", "rbin:ListTagsForResource", "rbin:LockRule", "rbin:UnlockRule", "tag:GetResources" ], "Resource": "*" }] }
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
-
Usuários e grupos em AWS IAM Identity Center:
Crie um conjunto de permissões. Siga as instruções em Criação de um conjunto de permissões no Guia do usuário do AWS IAM Identity Center .
-
Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em Criando um perfil para um provedor de identidades de terceiros (federação) no Guia do Usuário do IAM.
-
Usuários do IAM:
-
Crie um perfil que seu usuário possa assumir. Siga as instruções em Criação de um perfil para um usuário do IAM no Guia do usuário do IAM.
-
(Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em Adição de permissões a um usuário (console) no Guia do usuário do IAM.
-
Permissões para trabalhar com recursos na Lixeira
Para obter mais informações sobre as permissões do IAM necessárias para trabalhar com recursos na Lixeira, veja as seguintes orientações:
Chaves de condição para a Recycle Bin (Lixeira)
A Recycle Bin (Lixeira) define as seguintes chaves de condição que você pode usar no elemento Condition de uma política do IAM para controlar as condições segundo as quais a declaração de política se aplica. Para obter mais informações, consulte Elementos de política JSON do IAM: Condition no Manual do usuário do IAM.
Chave da condição rbin:Request/ResourceType
A chave de rbin:Request/ResourceType condição pode ser usada para filtrar o acesso CreateRulee as ListRulessolicitações com base no valor especificado para o parâmetro da ResourceType solicitação.
Exemplo 1 - CreateRule
O exemplo de política do IAM a seguir permite que os diretores do IAM façam CreateRulesolicitações somente se o valor especificado para o parâmetro da ResourceType solicitação for EBS_SNAPSHOT ouEC2_IMAGE. Isso permite que o diretor crie novas regras de retenção AMIs somente para instantâneos.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:CreateRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Request/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"] } } } ] }
Exemplo 2 - ListRules
O exemplo de política do IAM a seguir permite que os diretores do IAM façam ListRulessolicitações somente se o valor especificado para o parâmetro da ResourceType solicitação forEBS_SNAPSHOT. Isso permite que a entidade principal liste regras de retenção somente para snapshots e impede que listem regras de retenção para qualquer outro tipo de recurso.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:ListRules" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Request/ResourceType" : "EBS_SNAPSHOT" } } } ] }
Chave da condição rbin:Attribute/ResourceType
A chave de rbin:Attribute/ResourceType condição pode ser usada para filtrar o acesso em DeleteRuleGetRuleUpdateRule, LockRule, UnlockRule,, TagResource, UntagResource, e ListTagsForResourcesolicitações com base no valor do ResourceType atributo da regra de retenção.
Exemplo 1 - UpdateRule
O exemplo de política do IAM a seguir permite que os diretores do IAM façam UpdateRulesolicitações somente se o ResourceType atributo da regra de retenção solicitada for EBS_SNAPSHOT ouEC2_IMAGE. Isso permite que o diretor atualize as regras de retenção AMIs somente para instantâneos.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:UpdateRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Attribute/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"] } } } ] }
Exemplo 2 - DeleteRule
O exemplo de política do IAM a seguir permite que os diretores do IAM façam DeleteRulesolicitações somente se o ResourceType atributo da regra de retenção solicitada forEBS_SNAPSHOT. Isso permite que a entidade principal exclua regras de retenção apenas para snapshots.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:DeleteRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Attribute/ResourceType" : "EBS_SNAPSHOT" } } } ] }
