As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Controlar o acesso à Lixeira com o IAM
Por padrão, os usuários não têm permissão para trabalhar com a Lixeira, com as regras de retenção nem com os recursos que estão na Lixeira. Para permitir que os usuários trabalhem com esses recursos, você deve criar políticas do IAM que concedam permissão para o uso de recursos e ações de API específicos. Depois que as políticas forem criadas, você deverá adicionar permissões para os usuários, grupos ou perfis.
**Topics**
+ [Permissões para trabalhar com a Lixeira e com regras de retenção](#rule-perms)
+ [Permissões para trabalhar com recursos na Lixeira](#resource-perms)
+ [Chaves de condição para a Lixeira](#rbin-condition-keys)
## Permissões para trabalhar com a Lixeira e com regras de retenção
Para trabalhar com a Lixeira e com regras de retenção, os usuários precisam das permissões a seguir.
+ `rbin:CreateRule`
+ `rbin:UpdateRule`
+ `rbin:GetRule`
+ `rbin:ListRules`
+ `rbin:DeleteRule`
+ `rbin:TagResource`
+ `rbin:UntagResource`
+ `rbin:ListTagsForResource`
+ `rbin:LockRule`
+ `rbin:UnlockRule`
Para usar o console da Lixeira, os usuários precisam ter a permissão `tag:GetResources`.
A seguir está um exemplo de política do IAM que inclui a permissão `tag:GetResources` para usuários do console. Se algumas permissões não forem necessárias, você poderá removê-las da política.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rbin:CreateRule",
"rbin:UpdateRule",
"rbin:GetRule",
"rbin:ListRules",
"rbin:DeleteRule",
"rbin:TagResource",
"rbin:UntagResource",
"rbin:ListTagsForResource",
"rbin:LockRule",
"rbin:UnlockRule",
"tag:GetResources"
],
"Resource": "*"
}
]
}
```
------
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
+ Usuários e grupos em Centro de Identidade do AWS IAM:
Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
+ Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*.
+ Usuários do IAM:
+ Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*.
+ (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
## Permissões para trabalhar com recursos na Lixeira
Para obter mais informações sobre as permissões do IAM necessárias para trabalhar com recursos na Lixeira, veja as seguintes orientações:
+ [Permissões para trabalhar com volumes na lixeira](recycle-bin-working-with-volumes.md#volume-perms)
+ [Permissões para trabalhar com snapshots na lixeira](recycle-bin-working-with-snaps.md#snap-perms)
+ [Permissões para trabalhar AMIs na Lixeira](recycle-bin-working-with-amis.md#ami-perms)
## Chaves de condição para a Lixeira
A Recycle Bin (Lixeira) define as seguintes chaves de condição que você pode usar no elemento `Condition` de uma política do IAM para controlar as condições segundo as quais a declaração de política se aplica. Para obter mais informações, consulte [Elementos de política JSON do IAM: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Manual do usuário do IAM*.
**Topics**
+ [Chave da condição `rbin:Request/ResourceType`](#resource-type-parameter)
+ [Chave da condição `rbin:Attribute/ResourceType`](#resource-type-attribute)
### Chave da condição `rbin:Request/ResourceType`
A chave de `rbin:Request/ResourceType` condição pode ser usada para filtrar o acesso [CreateRule](https://docs.aws.amazon.com/recyclebin/latest/APIReference/API_CreateRule.html)e as [ListRules](https://docs.aws.amazon.com/recyclebin/latest/APIReference/API_ListRules.html)solicitações com base no valor especificado para o parâmetro da `ResourceType` solicitação.
**Exemplo 1 - CreateRule**
O exemplo de política do IAM a seguir permite que os diretores do IAM façam **CreateRule**solicitações somente se o valor especificado para o parâmetro da `ResourceType` solicitação for `EBS_SNAPSHOT` ou`EC2_IMAGE`. Isso permite que o diretor crie novas regras de retenção AMIs somente para instantâneos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" :[
"rbin:CreateRule"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"rbin:Request/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"]
}
}
}
]
}
```
------
**Exemplo 2 - ListRules**
O exemplo de política do IAM a seguir permite que os diretores do IAM façam **ListRules**solicitações somente se o valor especificado para o parâmetro da `ResourceType` solicitação for`EBS_SNAPSHOT`. Isso permite que a entidade principal liste regras de retenção somente para snapshots e impede que listem regras de retenção para qualquer outro tipo de recurso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" :[
"rbin:ListRules"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"rbin:Request/ResourceType" : "EBS_SNAPSHOT"
}
}
}
]
}
```
------
### Chave da condição `rbin:Attribute/ResourceType`
A chave de `rbin:Attribute/ResourceType` condição pode ser usada para filtrar o acesso em [DeleteRule[GetRule[UpdateRule](https://docs.aws.amazon.com/recyclebin/latest/APIReference/API_UpdateRule.html)](https://docs.aws.amazon.com/recyclebin/latest/APIReference/API_GetRule.html)](https://docs.aws.amazon.com/recyclebin/latest/APIReference/API_DeleteRule.html), [LockRule](https://docs.aws.amazon.com/recyclebin/latest/APIReference/API_LockRule.html), [UnlockRule](https://docs.aws.amazon.com/recyclebin/latest/APIReference/API_UnlockRule.html),, [TagResource](https://docs.aws.amazon.com/recyclebin/latest/APIReference/API_TagResource.html), [UntagResource](https://docs.aws.amazon.com/recyclebin/latest/APIReference/API_UntagResource.html), e [ListTagsForResource](https://docs.aws.amazon.com/recyclebin/latest/APIReference/API_ListTagsForResource.html)solicitações com base no valor do `ResourceType` atributo da regra de retenção.
**Exemplo 1 - UpdateRule**
O exemplo de política do IAM a seguir permite que os diretores do IAM façam **UpdateRule**solicitações somente se o `ResourceType` atributo da regra de retenção solicitada for `EBS_SNAPSHOT` ou`EC2_IMAGE`. Isso permite que o diretor atualize as regras de retenção AMIs somente para instantâneos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" :[
"rbin:UpdateRule"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"rbin:Attribute/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"]
}
}
}
]
}
```
------
**Exemplo 2 - DeleteRule**
O exemplo de política do IAM a seguir permite que os diretores do IAM façam **DeleteRule**solicitações somente se o `ResourceType` atributo da regra de retenção solicitada for`EBS_SNAPSHOT`. Isso permite que a entidade principal exclua regras de retenção apenas para snapshots.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" :[
"rbin:DeleteRule"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"rbin:Attribute/ResourceType" : "EBS_SNAPSHOT"
}
}
}
]
}
```
------