使用控制对回收站的访问权限 IAM - Amazon EBS
使用回收站和保留规则的权限使用回收站中的资源的权限回收站的条件键

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用控制对回收站的访问权限 IAM

默认情况下,用户没有权限使用回收站、保留规则或回收站中的资源。要允许用户使用这些资源,您必须创建IAM策略,授予使用特定资源和API操作的权限。创建策略后,必须向您的用户、组或角色添加权限。

使用回收站和保留规则的权限

要使用回收站和保留规则,用户需要以下权限。

  • rbin:CreateRule

  • rbin:UpdateRule

  • rbin:GetRule

  • rbin:ListRules

  • rbin:DeleteRule

  • rbin:TagResource

  • rbin:UntagResource

  • rbin:ListTagsForResource

  • rbin:LockRule

  • rbin:UnlockRule

要使用回收站控制台,用户需要 tag:GetResources 权限。

以下是包含控制台用户tag:GetResources权限的IAM策略示例。如果不需要某些上述权限,您可以从策略中将其删除。

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "rbin:CreateRule",
            "rbin:UpdateRule",
            "rbin:GetRule",
            "rbin:ListRules",
            "rbin:DeleteRule",
            "rbin:TagResource",
            "rbin:UntagResource",
            "rbin:ListTagsForResource",
            "rbin:LockRule",
            "rbin:UnlockRule",
            "tag:GetResources"
        ],
        "Resource": "*"
    }]
}

要提供访问权限,请为您的用户、组或角色添加权限:

  • 中的用户和群组 AWS IAM Identity Center:

    创建权限集合。按照《AWS IAM Identity Center 用户指南》创建权限集的说明进行操作。

  • IAM通过身份提供商管理的用户:

    创建适用于身份联合验证的角色。按照《IAM用户指南》中为第三方身份提供商创建角色(联合)中的说明进行操作。

  • IAM用户:

    • 创建您的用户可以担任的角色。按照《用户指南》为IAM用户创建角色中的IAM说明进行操作。

    • (不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《用户指南》中向用户(控制台)添加权限中的IAM说明进行操作。

使用回收站中的资源的权限

有关使用回收站中的资源所需的IAM权限的更多信息,请参阅以下内容:

回收站的条件键

回收站定义了以下条件键,您可以在IAM策略Condition元素中使用这些条件键来控制策略声明的适用条件。有关更多信息,请参阅《IAM用户指南》中的IAMJSON策略元素:条件

rbin:Request/ResourceType 条件键

rbin:Request/ResourceType条件键可用于根据为ListRules请求参数指定的值筛选访问权限CreateRuleResourceType请求。

示例 1- CreateRule

以下示例IAM策略仅允许IAM委托人仅在为CreateRule请求参数指定的值为EBS_SNAPSHOTEC2_IMAGEResourceType发出请求。这允许委托人AMIs仅为快照创建新的保留规则。

{
    "Version" : "2012-10-17",
    "Statement" : [
        {
            "Effect" : "Allow",
            "Action" :[
                "rbin:CreateRule"
            ],
            "Resource" : "*",
            "Condition" : {
                "StringEquals" : {
                    "rbin:Request/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"]
                }
            }
        }
    ]
}
示例 2- ListRules

以下示例IAM策略仅允许IAM委托人仅在为ListRules请求参数指定的值为时ResourceType发出请求。EBS_SNAPSHOT这使主体仅列出快照的保留规则,并防止它们列出任何其他资源类型的保留规则。

{
    "Version" : "2012-10-17",
    "Statement" : [
        {
            "Effect" : "Allow",
            "Action" :[
                "rbin:ListRules"
            ],
            "Resource" : "*",
            "Condition" : {
                "StringEquals" : {
                    "rbin:Request/ResourceType" : "EBS_SNAPSHOT"
                }
            }
        }
    ]
}

rbin:Attribute/ResourceType 条件键

rbin:Attribute/ResourceType条件键可用于根据保留规则ResourceType属性的值筛选对DeleteRuleGetRuleUpdateRuleLockRuleUnlockRuleTagResourceUntagResource、、、、、和ListTagsForResource请求的访问权限。

示例 1- UpdateRule

以下示例IAM策略仅允许IAM委托人仅在UpdateRule请求的保留规则的ResourceType属性为EBS_SNAPSHOTEC2_IMAGE时发出请求。这允许委托人AMIs仅更新快照的保留规则。

{
    "Version" : "2012-10-17",
    "Statement" : [
        {
            "Effect" : "Allow",
            "Action" :[
                "rbin:UpdateRule"
            ],
            "Resource" : "*",
            "Condition" : {
                "StringEquals" : {
                    "rbin:Attribute/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"]
                }
            }
        }
    ]
}
示例 2- DeleteRule

以下示例IAM策略仅允许IAM委托人仅在DeleteRule请求的保留规则的ResourceType属性为EBS_SNAPSHOT时发出请求。这使主体能够仅为快照删除保留规则。

{
    "Version" : "2012-10-17",
    "Statement" : [
        {
            "Effect" : "Allow",
            "Action" :[
                "rbin:DeleteRule"
            ],
            "Resource" : "*",
            "Condition" : {
                "StringEquals" : {
                    "rbin:Attribute/ResourceType" : "EBS_SNAPSHOT"
                }
            }
        }
    ]
}