本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
默认情况下,用户没有权限使用回收站、保留规则或回收站中的资源。要允许用户使用这些资源,您必须创建 IAM policy,以授予使用特定资源和 API 操作的权限。创建策略后,必须向您的用户、组或角色添加权限。
使用回收站和保留规则的权限
要使用回收站和保留规则,用户需要以下权限。
-
rbin:CreateRule -
rbin:UpdateRule -
rbin:GetRule -
rbin:ListRules -
rbin:DeleteRule -
rbin:TagResource -
rbin:UntagResource -
rbin:ListTagsForResource -
rbin:LockRule -
rbin:UnlockRule
要使用回收站控制台,用户需要 tag:GetResources 权限。
以下是包含控制台用户 tag:GetResources 权限的示例 IAM policy。如果不需要某些上述权限,您可以从策略中将其删除。
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"rbin:CreateRule",
"rbin:UpdateRule",
"rbin:GetRule",
"rbin:ListRules",
"rbin:DeleteRule",
"rbin:TagResource",
"rbin:UntagResource",
"rbin:ListTagsForResource",
"rbin:LockRule",
"rbin:UnlockRule",
"tag:GetResources"
],
"Resource": "*"
}]
}要提供访问权限,请为您的用户、组或角色添加权限:
-
中的用户和群组 AWS IAM Identity Center:
创建权限集合。按照《AWS IAM Identity Center 用户指南》中创建权限集的说明进行操作。
-
通过身份提供商在 IAM 中托管的用户:
创建适用于身份联合验证的角色。按照《IAM 用户指南》中针对第三方身份提供商创建角色(联合身份验证)的说明进行操作。
-
IAM 用户:
-
创建您的用户可以担任的角色。按照《IAM 用户指南》中为 IAM 用户创建角色的说明进行操作。
-
(不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》中向用户添加权限(控制台)中的说明进行操作。
-
使用回收站中的资源的权限
有关使用回收站中的资源所需的 IAM 权限的更多信息,请参阅以下内容:
回收站的条件键
回收站定义以下条件键,您可在 IAM policy 的 Condition 元素中将其用于控制适用策略语句的条件。有关更多信息,请参阅《IAM 用户指南》中的 IAM JSON 策略元素:条件。
rbin:Request/ResourceType 条件键
rbin:Request/ResourceType条件键可用于根据为ListRules请求参数指定的值筛选访问权限CreateRule和ResourceType请求。
示例 1- CreateRule
以下 IAM 策略示例,仅当为CreateRule请求参数指定的值为EBS_SNAPSHOT或EC2_IMAGE时,IAM 委托人才能ResourceType发出请求。这允许委托人 AMIs 仅为快照创建新的保留规则。
{
"Version" : "2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" :[
"rbin:CreateRule"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"rbin:Request/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"]
}
}
}
]
}示例 2- ListRules
以下示例 IAM 策略允许 IAM 委托人仅在为ResourceType请求参数指定的值为时发出请求。ListRulesEBS_SNAPSHOT这使主体仅列出快照的保留规则,并防止它们列出任何其他资源类型的保留规则。
{
"Version" : "2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" :[
"rbin:ListRules"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"rbin:Request/ResourceType" : "EBS_SNAPSHOT"
}
}
}
]
}rbin:Attribute/ResourceType 条件键
rbin:Attribute/ResourceType条件键可用于根据保留规则ResourceType属性的值筛选对DeleteRuleGetRuleUpdateRuleLockRuleUnlockRuleTagResource、UntagResource、、、、、和ListTagsForResource请求的访问权限。
示例 1- UpdateRule
以下示例 IAM 策略仅在UpdateRule请求的保留规则的ResourceType属性为EBS_SNAPSHOT或EC2_IMAGE时允许 IAM 委托人发出请求。这允许委托人 AMIs 仅更新快照的保留规则。
{
"Version" : "2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" :[
"rbin:UpdateRule"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"rbin:Attribute/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"]
}
}
}
]
}示例 2- DeleteRule
以下示例 IAM 策略允许 IAM 委托人仅在DeleteRule请求的保留规则的ResourceType属性为EBS_SNAPSHOT时才发出请求。这使主体能够仅为快照删除保留规则。
{
"Version" : "2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" :[
"rbin:DeleteRule"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"rbin:Attribute/ResourceType" : "EBS_SNAPSHOT"
}
}
}
]
}