Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlla l'accesso a Recycle Bin con le autorizzazioni IAM
Per impostazione predefinita, gli utenti non dispongono dell'autorizzazione per usare il Cestino di riciclaggio, le regole di conservazione o gli snapshot presenti nel Cestino di riciclaggio. Per consentire agli utenti di utilizzare queste risorse, è necessario creare IAM politiche che consentano l'utilizzo di risorse e API azioni specifiche. Dopo aver creato le politiche, è necessario aggiungere le autorizzazioni agli utenti, ai gruppi o ai ruoli.
Argomenti
Autorizzazioni per usare il Cestino di riciclaggio e le regole di conservazione
Per usare il Cestino di riciclaggio e le regole di conservazione, gli utenti devono disporre delle seguenti autorizzazioni.
-
rbin:CreateRule
-
rbin:UpdateRule
-
rbin:GetRule
-
rbin:ListRules
-
rbin:DeleteRule
-
rbin:TagResource
-
rbin:UntagResource
-
rbin:ListTagsForResource
-
rbin:LockRule
-
rbin:UnlockRule
Per usare la console del Cestino di riciclaggio, gli utenti devono disporre dell'autorizzazione tag:GetResources
.
Di seguito è riportato un esempio di IAM policy che include l'tag:GetResources
autorizzazione per gli utenti della console. Se qualche autorizzazione non è necessaria, puoi rimuoverla dalla policy.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "rbin:CreateRule", "rbin:UpdateRule", "rbin:GetRule", "rbin:ListRules", "rbin:DeleteRule", "rbin:TagResource", "rbin:UntagResource", "rbin:ListTagsForResource", "rbin:LockRule", "rbin:UnlockRule", "tag:GetResources" ], "Resource": "*" }] }
Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:
-
Utenti e gruppi in AWS IAM Identity Center:
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
-
Utenti gestiti IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate in Creazione di un ruolo per un provider di identità di terze parti (federazione) nella Guida per l'IAMutente.
-
IAMutenti:
-
Crea un ruolo che l'utente possa assumere. Segui le istruzioni riportate nella sezione Creazione di un ruolo per un IAM utente nella Guida per l'IAMutente.
-
(Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate in Aggiungere autorizzazioni a un utente (console) nella Guida per l'IAMutente.
-
Autorizzazioni per usare le risorse nel Cestino di riciclaggio
Per ulteriori informazioni sulle IAM autorizzazioni necessarie per utilizzare le risorse nel Cestino, consulta quanto segue:
Chiavi di condizione per il Cestino
Recycle Bin definisce le seguenti chiavi di condizione che è possibile utilizzare nell'Condition
elemento di una IAM policy per controllare le condizioni alle quali si applica l'informativa. Per ulteriori informazioni, consulta Elementi IAM JSON della politica: Condizione nella Guida per l'IAMutente.
Argomenti
Chiave di condizione rbin:Request/ResourceType
La chiave rbin:Request/ResourceType
condition può essere utilizzata per filtrare l'accesso CreateRulee ListRulesle richieste in base al valore specificato per il parametro di ResourceType
richiesta.
Esempio 1 - CreateRule
La seguente IAM politica di esempio consente ai IAM principali di effettuare CreateRulerichieste solo se il valore specificato per il parametro di ResourceType
richiesta è EBS_SNAPSHOT
oEC2_IMAGE
. Ciò consente al responsabile di creare nuove regole di conservazione solo per le istantaneeAMIs.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:CreateRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Request/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"] } } } ] }
Esempio 2 - ListRules
La seguente IAM politica di esempio consente ai IAM principali di effettuare ListRulesrichieste solo se il valore specificato per il parametro di ResourceType
richiesta èEBS_SNAPSHOT
. Ciò consente al principale di elencare le regole di conservazione solo per gli snapshot e impedisce loro di elencare le regole di conservazione per qualsiasi altro tipo di risorsa.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:ListRules" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Request/ResourceType" : "EBS_SNAPSHOT" } } } ] }
Chiave di condizione rbin:Attribute/ResourceType
La chiave rbin:Attribute/ResourceType
condizionale può essere utilizzata per filtrare l'accesso a DeleteRuleGetRule, UpdateRule, LockRule, UnlockRule, TagResourceUntagResource, e ListTagsForResourcele richieste in base al valore dell'ResourceType
attributo della regola di conservazione.
Esempio 1 - UpdateRule
La seguente IAM politica di esempio consente IAM ai responsabili di effettuare UpdateRulerichieste solo se l'ResourceType
attributo della regola di conservazione richiesta è EBS_SNAPSHOT
oEC2_IMAGE
. Ciò consente al principale di aggiornare le regole di conservazione solo per le istantaneeAMIs.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:UpdateRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Attribute/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"] } } } ] }
Esempio 2 - DeleteRule
La seguente IAM politica di esempio consente IAM ai responsabili di effettuare DeleteRulerichieste solo se l'ResourceType
attributo della regola di conservazione richiesta èEBS_SNAPSHOT
. Ciò consente al principale di eliminare le regole di conservazione solo per gli snapshot e le AMI.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:DeleteRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Attribute/ResourceType" : "EBS_SNAPSHOT" } } } ] }