Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controle el acceso a la papelera de reciclaje con IAM
De forma predeterminada, los usuarios no tienen permiso para trabajar con la papelera de reciclaje, las reglas de retención ni los recursos que se encuentran en la papelera de reciclaje. Para permitir que los usuarios trabajen con estos recursos, debe crear IAM políticas que concedan permiso para usar recursos y API acciones específicos. Una vez creadas las políticas, tendrá que agregar permisos a los usuarios, grupos o roles.
Temas
Permisos para trabajar con la papelera de reciclaje y las reglas de retención
Para trabajar con la papelera de reciclaje y las reglas de retención, los usuarios necesitan los siguientes permisos.
-
rbin:CreateRule -
rbin:UpdateRule -
rbin:GetRule -
rbin:ListRules -
rbin:DeleteRule -
rbin:TagResource -
rbin:UntagResource -
rbin:ListTagsForResource -
rbin:LockRule -
rbin:UnlockRule
Para utilizar la consola de la papelera de reciclaje, los usuarios necesitan el permiso tag:GetResources.
El siguiente es un ejemplo de IAM política que incluye el tag:GetResources permiso para los usuarios de la consola. Si algunos permisos no se necesitan, puede eliminarlos de la política.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "rbin:CreateRule", "rbin:UpdateRule", "rbin:GetRule", "rbin:ListRules", "rbin:DeleteRule", "rbin:TagResource", "rbin:UntagResource", "rbin:ListTagsForResource", "rbin:LockRule", "rbin:UnlockRule", "tag:GetResources" ], "Resource": "*" }] }
Para dar acceso, agregue permisos a los usuarios, grupos o roles:
-
Usuarios y grupos en AWS IAM Identity Center:
Cree un conjunto de permisos. Siga las instrucciones de Creación de un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center .
-
Usuarios gestionados IAM a través de un proveedor de identidad:
Cree un rol para la federación de identidades. Siga las instrucciones de la Guía del IAM usuario sobre cómo crear un rol para un proveedor de identidades externo (federación).
-
IAMusuarios:
-
Cree un rol que el usuario pueda aceptar. Siga las instrucciones de la Guía del IAMusuario sobre cómo crear un rol para un IAM usuario.
-
(No recomendado) Adjunte una política directamente a un usuario o añada un usuario a un grupo de usuarios. Siga las instrucciones de Añadir permisos a un usuario (consola) de la Guía del IAM usuario.
-
Permisos para trabajar con los recursos de la papelera de reciclaje
Para obtener más información sobre los IAM permisos necesarios para trabajar con los recursos de la papelera de reciclaje, consulte lo siguiente:
Claves de condición de la papelera de reciclaje
La papelera de reciclaje define las siguientes claves de condición que puede utilizar en el Condition elemento de una IAM política para controlar las condiciones en las que se aplica la declaración de política. Para obtener más información, consulte los elementos IAM JSON de la política: Condición en la Guía del IAM usuario.
Temas
Clave de condición de rbin:Request/ResourceType
La clave de rbin:Request/ResourceType condición se puede utilizar para filtrar el acceso CreateRuley ListRuleslas solicitudes en función del valor especificado para el parámetro de ResourceType solicitud.
Ejemplo 1 - CreateRule
El siguiente ejemplo IAM de política permite a IAM los directores realizar CreateRulesolicitudes solo si el valor especificado para el parámetro de ResourceType solicitud es EBS_SNAPSHOT oEC2_IMAGE. Esto permite al director crear nuevas reglas de retención únicamente para las AMIs instantáneas.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:CreateRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Request/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"] } } } ] }
Ejemplo 2: ListRules
El siguiente ejemplo IAM de política permite a IAM los directores realizar ListRulessolicitudes solo si el valor especificado para el parámetro de ResourceType solicitud esEBS_SNAPSHOT. Esto permite que la entidad principal muestre las reglas de retención solo para instantáneas e impide que muestre las reglas de retención para cualquier otro tipo de recurso.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:ListRules" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Request/ResourceType" : "EBS_SNAPSHOT" } } } ] }
Clave de condición de rbin:Attribute/ResourceType
La clave de rbin:Attribute/ResourceType condición se puede usar para filtrar el acceso a las ListTagsForResourcesolicitudes DeleteRuleGetRuleUpdateRuleLockRule, UnlockRule, TagResource, UntagResource, y en función del valor del ResourceType atributo de la regla de retención.
Ejemplo 1: UpdateRule
El siguiente ejemplo IAM de política permite a IAM los directores realizar UpdateRulesolicitudes solo si el ResourceType atributo de la regla de retención solicitada es EBS_SNAPSHOT oEC2_IMAGE. Esto permite al director actualizar las reglas de retención únicamente para las AMIs instantáneas.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:UpdateRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Attribute/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"] } } } ] }
Ejemplo 2: DeleteRule
El siguiente ejemplo IAM de política permite a IAM los directores realizar DeleteRulesolicitudes solo si el ResourceType atributo de la regla de retención solicitada lo esEBS_SNAPSHOT. Esto permite a la entidad principal eliminar las reglas de retención para instantáneas únicamente.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:DeleteRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Attribute/ResourceType" : "EBS_SNAPSHOT" } } } ] }
