使用 IAM 控制对回收站的访问

默认情况下，用户没有权限使用回收站、保留规则或回收站中的资源。要允许用户使用这些资源，您必须创建 IAM policy，以授予使用特定资源和 API 操作的权限。创建策略后，必须向您的用户、组或角色添加权限。

主题

使用回收站和保留规则的权限
使用回收站中的资源的权限
回收站的条件键

使用回收站和保留规则的权限

要使用回收站和保留规则，用户需要以下权限。

rbin:CreateRule
rbin:UpdateRule
rbin:GetRule
rbin:ListRules
rbin:DeleteRule
rbin:TagResource
rbin:UntagResource
rbin:ListTagsForResource
rbin:LockRule
rbin:UnlockRule

要使用回收站控制台，用户需要 tag:GetResources 权限。

以下是包含控制台用户 tag:GetResources 权限的示例 IAM policy。如果不需要某些上述权限，您可以从策略中将其删除。


{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "rbin:CreateRule",
            "rbin:UpdateRule",
            "rbin:GetRule",
            "rbin:ListRules",
            "rbin:DeleteRule",
            "rbin:TagResource",
            "rbin:UntagResource",
            "rbin:ListTagsForResource",
            "rbin:LockRule",
            "rbin:UnlockRule",
            "tag:GetResources"
        ],
        "Resource": "*"
    }]
}

要提供访问权限，请为您的用户、组或角色添加权限：

中的用户和群组 AWS IAM Identity Center：

创建权限集合。按照《AWS IAM Identity Center 用户指南》中创建权限集的说明进行操作。
通过身份提供商在 IAM 中托管的用户：

创建适用于身份联合验证的角色。按照《IAM 用户指南》中针对第三方身份提供商创建角色（联合身份验证）的说明进行操作。
IAM 用户：
- 创建您的用户可以担任的角色。按照《IAM 用户指南》中为 IAM 用户创建角色的说明进行操作。
- （不推荐使用）将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》中向用户添加权限（控制台）中的说明进行操作。

使用回收站中的资源的权限

有关使用回收站中的资源所需的 IAM 权限的更多信息，请参阅以下内容：

回收站的条件键

回收站定义以下条件键，您可在 IAM policy 的 Condition 元素中将其用于控制适用策略语句的条件。有关更多信息，请参阅《IAM 用户指南》中的 IAM JSON 策略元素：条件。

`rbin:Request/ResourceType` 条件键

rbin:Request/ResourceType条件键可用于根据为ListRules请求参数指定的值筛选访问权限CreateRule和ResourceType请求。

示例 1- CreateRule

以下示例 IAM 策略允许 IAM 委托人仅在为ResourceType请求参数指定的值为EBS_SNAPSHOT或EC2_IMAGE时发出请求。CreateRule这允许委托人 AMIs 仅为快照创建新的保留规则。


{
    "Version" : "2012-10-17",
    "Statement" : [
        {
            "Effect" : "Allow",
            "Action" :[
                "rbin:CreateRule"
            ],
            "Resource" : "*",
            "Condition" : {
                "StringEquals" : {
                    "rbin:Request/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"]
                }
            }
        }
    ]
}

示例 2- ListRules

以下示例 IAM 策略允许 IAM 委托人仅在为ResourceType请求参数指定的值为时发出请求。ListRulesEBS_SNAPSHOT这使主体仅列出快照的保留规则，并防止它们列出任何其他资源类型的保留规则。


{
    "Version" : "2012-10-17",
    "Statement" : [
        {
            "Effect" : "Allow",
            "Action" :[
                "rbin:ListRules"
            ],
            "Resource" : "*",
            "Condition" : {
                "StringEquals" : {
                    "rbin:Request/ResourceType" : "EBS_SNAPSHOT"
                }
            }
        }
    ]
}

`rbin:Attribute/ResourceType` 条件键

rbin:Attribute/ResourceType条件键可用于根据保留规则ResourceType属性的值筛选对DeleteRule GetRule UpdateRule LockRule UnlockRule TagResource、UntagResource、、、、、和ListTagsForResource请求的访问权限。

示例 1- UpdateRule

以下示例 IAM 策略仅在UpdateRule请求的保留规则的ResourceType属性为EBS_SNAPSHOT或EC2_IMAGE时允许 IAM 委托人发出请求。这允许委托人 AMIs 仅更新快照的保留规则。


{
    "Version" : "2012-10-17",
    "Statement" : [
        {
            "Effect" : "Allow",
            "Action" :[
                "rbin:UpdateRule"
            ],
            "Resource" : "*",
            "Condition" : {
                "StringEquals" : {
                    "rbin:Attribute/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"]
                }
            }
        }
    ]
}

示例 2- DeleteRule

以下示例 IAM 策略允许 IAM 委托人仅在DeleteRule请求的保留规则的ResourceType属性为EBS_SNAPSHOT时发出请求。这使主体能够仅为快照删除保留规则。


{
    "Version" : "2012-10-17",
    "Statement" : [
        {
            "Effect" : "Allow",
            "Action" :[
                "rbin:DeleteRule"
            ],
            "Resource" : "*",
            "Condition" : {
                "StringEquals" : {
                    "rbin:Attribute/ResourceType" : "EBS_SNAPSHOT"
                }
            }
        }
    ]
}

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

注意事项

创建保留规则