回收站的条件键
回收站定义以下条件键,您可在 IAM policy 的 Condition
元素中将其用于控制适用策略语句的条件。有关更多信息,请参阅《IAM 用户指南》中的 IAM JSON 策略元素:条件。
rbin:Request/ResourceType
条件键
rbin:Request/ResourceType
条件键可以用于根据为 ResourceType
请求参数指定的值过滤对 CreateRule 和 ListRules 请求的访问。
示例 1 - CreateRule
以下示例 IAM policy 允许 IAM 主体仅在为 ResourceType
请求参数指定的值为 EBS_SNAPSHOT
或 EC2_IMAGE
时发出 CreateRule 请求。这使主体能够仅为快照和 AMI 创建新的保留规则。
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:CreateRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Request/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"] } } } ] }
示例 2 - ListRules
以下示例 IAM policy 允许 IAM 主体仅在为 ResourceType
请求参数指定的值为 EBS_SNAPSHOT
时发出 ListRules 请求。这使主体仅列出快照的保留规则,并防止它们列出任何其他资源类型的保留规则。
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:ListRules" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Request/ResourceType" : "EBS_SNAPSHOT" } } } ] }
rbin:Attribute/ResourceType
条件键
rbin:Attribute/ResourceType
条件键可用于根据保留规则的 ResourceType
属性的值过滤对 DeleteRule、GetRule、UpdateRule、LockRule、UnlockRule、TagResource、UntagResource 和 ListTagsForResource 的访问。
示例 1 - UpdateRule
以下示例 IAM policy 允许 IAM 主体仅在请求的保留规则的 ResourceType
属性为 EBS_SNAPSHOT
或 EC2_IMAGE
时发出 UpdateRule 请求。这使主体能够仅为快照和 AMI 更新规则。
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:UpdateRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Attribute/ResourceType" : ["EBS_SNAPSHOT", "EC2_IMAGE"] } } } ] }
示例 2 - DeleteRule
以下示例 IAM policy 允许 IAM 主体仅在请求的保留规则的 ResourceType
属性为 EBS_SNAPSHOT
时发出 DeleteRule 请求。这使主体能够仅为快照删除保留规则。
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" :[ "rbin:DeleteRule" ], "Resource" : "*", "Condition" : { "StringEquals" : { "rbin:Attribute/ResourceType" : "EBS_SNAPSHOT" } } } ] }